Synacktiv的研究人员在2024 Pwn2Own Automotive 上挖掘到Autel Maxicharger固件中的两个漏洞,Autel已在最新固件版本中修复了这些问题。
在2024 Pwn2Own Automotive 中,Synacktiv研究人员展示了针对运行固件v1.32的Autel Maxicharger的两种远程攻击,这些攻击实现远程代码执行(RCE)效果。之后Autel被告知了这些问题,并在ZDI公开发布研究结果之前,发布了固件更新v1.35。
披露的第一个漏洞是与处理充电控制的蓝牙功能相关的问题。研究人员能够通过BLE发送恶意代码,并将其插入目标内存以控制此代码。这是因为v1.32固件没有限制存储在内存中的客户端消息长度。研究人员可以在他们的消息中添加恶意代码,导致Autel充电器接收缓冲区溢出,最终控制设备。我们从Autel充电器中提取了v1.32和v1.35两个固件版本,并使用Ghidra对两者进行了逆向分析。利用Ghidra的版本对比功能,我们使用AppChargingControl函数比较了两个固件版本。如下图所示,左侧面板(v1.32)直接将任何长度的客户端消息复制到内存中。右侧面板(v1.35)中,Autel添加了一个长度检查,以限制客户端消息长度不超过内存缓冲区的长度(0x3D字节)。
