セキュリティ

SECURITY

公開：2024-12-13

【CVE-2024-8358】Visteon Infotainmentシステムに重大な脆弱性、物理アクセスで任意コード実行の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Visteon InfotainmentシステムにUPDATES_ExtractFile関数の脆弱性
• 物理的に近接した攻撃者による任意コード実行が可能に
• 認証不要で悪用可能なコマンドインジェクションの脆弱性

Visteon Infotainmentシステムの重大な脆弱性発見

Zero Day Initiativeは2024年11月22日、Visteon InfotainmentシステムにおけるUPDATES_ExtractFile関数の脆弱性（CVE-2024-8358）を公開した。この脆弱性は、物理的に近接した攻撃者が認証なしで任意のコードを実行できる深刻な問題であり、攻撃者が細工されたソフトウェアアップデートファイルを使用することで、システムコールの実行が可能となる。^[1]

影響を受けるバージョンはcmu150_NA_74.00.324Aであり、CVSSスコアは6.8（中程度）と評価されている。この脆弱性はCWE-78（OSコマンドインジェクション）に分類され、攻撃者がデバイスのコンテキストでコードを実行できる可能性があることから、早急な対応が求められる状況だ。

Zero Day Initiativeは本脆弱性をZDI-CAN-23422として管理しており、CISAによる評価では現時点で自動化された攻撃は確認されていない。しかし、物理的なアクセスさえあれば認証なしで攻撃が可能なため、自動車メーカーや関連事業者は早急なセキュリティ対策の実施が推奨される。

Visteon Infotainmentの脆弱性詳細

コマンドインジェクションについて

コマンドインジェクションとは、攻撃者が悪意のあるコマンドを正規のシステムコマンドに挿入して実行する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムコマンドを実行する際の入力値の検証が不十分
• 特殊文字やメタ文字を使用して追加のコマンドを実行
• システム権限でコマンドが実行される可能性

Visteon Infotainmentシステムで発見された脆弱性は、UPDATES_ExtractFile関数においてユーザー入力の適切な検証が行われていないことが原因だ。攻撃者は細工されたソフトウェアアップデートファイルを使用することで、システムコールを任意に実行できる可能性があるため、深刻な脅威となっている。

Visteon Infotainmentの脆弱性に関する考察

Visteon Infotainmentシステムの脆弱性は、物理的なアクセスが必要という制限があるものの、認証不要で攻撃可能という点で深刻な問題となっている。自動車の情報システムにおける脆弱性は、運転安全性にも影響を及ぼす可能性があることから、製造業者による迅速なパッチ適用と、セキュリティテストの強化が不可欠だ。

今後は自動車業界全体でセキュアコーディングの実践とコードレビューの徹底が求められる。特にソフトウェアアップデート機能は攻撃者の標的となりやすいため、入力値の厳密な検証と、署名検証などの追加的なセキュリティ対策の実装が重要になるだろう。

また、自動車のコネクテッド化が進む中、インフォテインメントシステムのセキュリティは今後さらに重要性を増すと予想される。業界全体での脆弱性情報の共有体制の構築と、セキュリティインシデントへの迅速な対応体制の整備が望まれる。

参考サイト

1. ^ CVE. 「CVE-2024-8358 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-8358, (参照 24-12-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧