Brutális biztonsági problémák (nem csak) a nagy autómárkák rendszereiben

kami911 képe

Bár az autógyártók évtizedek óta hajtanak és rengeteget áldoznak technikai, anyagi, és figyelemfelhívási tekintetében az autójaik biztonságos megítélésére, és többek között jobbnál-jobb Euro NCAP teszteredményekkel és építenek arra reklámokat és biztonsági kampányokat. Úgy tűnik azonban szoftverbiztonsági töréstesztekre jóval kevesebb figyelmet és erőforrást szentelnek. Ennek megfelelően az eredmények is kiábrándítóak. Jól látható, hogy a hardver irányból érkező patinás cégek vajmi kevéssé felelnek meg a 21. században elvárt, egymással interneten, magas szinten és biztonságosan kommunikáló összekapcsolt eszközökkel rendelkező fokozott biztonsági szintnek. Olyan neves autógyártók, mint az Acura, a BMW, a Ferrari, a Ford, a Genesis, a Honda, a Hyundai, az Infiniti, a Jaguar, a KIA, a Land Rover, a Mercedes-Benz, a Nissan, a Porsche, a Roll Royce, és a Toyota, valamint szintén neves megoldásszállítók, mint a Spireon és a Reviver, illetve a SiriusXM streaming-szolgáltató.

A legkomolyabb API-t és belső rendszereket érintő hibát a BMW és a Mercedes-Benz rendszereiben találtak, ahol az előbbinél a belső rendszerek is könnyen megnyithatóak voltak és lettek elérhetőek ügyféladatok és szerződések a jelszórendszer rossz konfigurálása miatt. Hasonló, az SSO konfigurálás hibája miatt mindenki elérhette a Mercedes-Benz github programtárolóját, belső Mattermost csevegőit, szervereit, Jenkins-en alapuló build környezeteket és AWS-ben futó rendszereit, valamint az XENTRY rendszert, amely közvetlenül az autókkal vannak kapcsolatban. De lehetőség volt a teljes felhasználói fiókok feletti kontroll átvételére a Ferrarinál és önkényes fiók létrehozását is lehetővé tette a támadó számára. Ezzel aztán illetéktelen hozzáférhet, módosíthatja és törölheti az összes ügyféladatot és hozzáférhet az adminisztrációs CMS funkciókhoz a Ferrari webhelyek kezeléséhez.

Sam Curry és csapata a következő sebezhetőségeket találta, amelyek azóta már minden esetben javításra kerültek és erről részletesen egy blogbejegyzésben számolt be:

  • Kia, Honda, Infiniti, Nissan, Acura
    • Teljesen távoli zárás, feloldás, motorindítás, motorleállítás, precíziós helymeghatározás, fényszórók villogtatása és dudálás a járműveken, csak az alvázszámot használva.
    • Teljesen távoli fiókátvétel és PII felfedése az alvázszámon keresztül (név, telefonszám, e-mail cím, fizikai cím).
    • A felhasználók kizárása a jármű távolról történő kezeléséből, tulajdonosváltás.
    • Konkrétan a Kia esetében távolról hozzáférhettünk a 360 fokos kamerához, és élő képeket nézhettünk az autóról.
  • Mercedes-Benz
    • Hozzáférés több száz kritikus fontosságú belső alkalmazáshoz nem megfelelően konfigurált SSO-n keresztül, többek között...
    • Több Github-példány az SSO mögött
    • Vállalati szintű belső csevegőeszköz, szinte bármilyen csatornához való csatlakozás lehetősége
    • SonarQube, Jenkins, különféle build szerverek
    • Belső felhő telepítési szolgáltatások az AWS példányok kezeléséhez
    • Belső, járművekkel kapcsolatos API-k
    • Távoli kódvégrehajtás több rendszeren
    • A memóriaszivárgás az alkalmazottak/ügyfelek PII-jének felfedéséhez, fiókhoz való hozzáféréshez vezet.
  • Hyundai, Genesis
    • Teljesen távoli zárás, feloldás, motorindítás, motorleállítás, precíziós helymeghatározás, fényszórók villogtatása és dudálás a járműveken, kizárólag az áldozat e-mail címének használatával.
    • Teljesen távoli fiókátvétel és PII felfedése az áldozat e-mail címén keresztül (név, telefonszám, e-mail cím, lakcím).
    • Képes kizárni a felhasználókat a jármű távoli kezeléséből, tulajdonjogot változtatni.
  • BMW, Rolls Royce
    • Vállalati szintű alapvető SSO sebezhetőségek, amelyek lehetővé tették számunkra, hogy bármely alkalmazott alkalmazásához bármely alkalmazottként hozzáférjünk, lehetővé tette számunkra, hogy...
    • Hozzáférés a belső kereskedői portálokhoz, ahol bármilyen VIN számot lekérdezhetünk a BMW értékesítési dokumentumainak lekérdezéséhez.
    • Hozzáférés bármely SSO mögé zárt alkalmazáshoz bármely alkalmazott nevében, beleértve a távmunkások és a márkakereskedők által használt alkalmazásokat is.
  • Ferrari
    • Teljesen interakciómentes fiókátvétel bármely Ferrari ügyfélfiókhoz
    • IDOR a Ferrari összes ügyfélrekordjához való hozzáféréshez
    • A hozzáférés-szabályozás hiánya, amely lehetővé teszi a támadó számára, hogy létrehozza, módosítsa és törölje az alkalmazottak "back office" adminisztrátori felhasználói fiókjait, valamint minden olyan felhasználói fiókot, amely a CMS rendszeren keresztül képes a Ferrari tulajdonában lévő weboldalak módosítására.
    • Lehetőség HTTP útvonalak hozzáadására az api.ferrari.com oldalon (rest-connectors), valamint az összes meglévő rest-connector és a hozzájuk kapcsolódó titkok (authorization headerek) megtekintésére.
  • Spireon
    • Több sebezhetőség, többek között:
    • Teljes körű rendszergazdai hozzáférés a vállalat egészére kiterjedő adminisztrációs panelhez, amellyel tetszőleges parancsokat lehet küldeni a becslések szerint 15,5 millió járműnek (feloldás, motor indítása, indító kikapcsolása stb.), bármely eszköz helyének leolvasása és az eszköz firmware-jének flashelése/frissítése.
    • Távoli kódfuttatás a felhasználói fiókok, eszközök és flották kezelésére szolgáló központi rendszereken. Az összes adat elérésének és kezelésének képessége a Spireon egész területén.
    • Képesség bármely flotta teljes átvételére (ez lehetővé tette volna számunkra, hogy nyomon kövessük és kikapcsoljuk a rendőrség, a mentők és a bűnüldöző szervek járműveinek indítóit számos különböző nagyvárosban, és parancsokat küldjünk ezeknek a járműveknek, pl. "navigálj erre a helyre").
    • Teljes adminisztratív hozzáférés az összes Spireon termékhez, beleértve a következőket:
  • Összesen...
    • 15,5 millió eszköz (főként járművek)
    • 1,2 millió felhasználói fiók (végfelhasználói fiókok, flottakezelők stb.)
  • Ford
    • Teljes memóriafeltárás a sorozatgyártású járműveken A telematikai API feltárja a következőket
      • Nyilvánosságra hozza az ügyfelek PII-jét és a járműveken történő követéshez és parancsok végrehajtásához szükséges hozzáférési tokeneket.
      • A telematikához kapcsolódó belső szolgáltatásokhoz használt konfigurációs hitelesítő adatok nyilvánosságra hozatala
      • Képes az ügyfélfiókba való bejelentkezésre, az összes PII-hez való hozzáférésre és a járművekkel kapcsolatos műveletek végrehajtására.
    • Ügyfélfiók átvétele helytelen URL-elemzésen keresztül, lehetővé teszi a támadó számára, hogy teljes mértékben hozzáférjen az áldozat fiókjához, beleértve a járműportált is.
  • Reviver
  • Teljes körű szuper adminisztrátori hozzáférés az összes felhasználói fiók és jármű kezeléséhez az összes Reviver csatlakoztatott jármű számára. A támadó a következőket hajthatja végre:
    • A fizikai GPS-helyzet nyomon követése és a rendszámtábla kezelése minden Reviver-ügyfél számára (pl. a rendszámtábla alján lévő felirat tetszőleges szövegre történő módosítása).
    • Bármely jármű státuszának „STOLEN”-re való frissítése, ami frissíti a rendszámtáblát és tájékoztatja a hatóságokat.
    • Hozzáférés az összes felhasználói nyilvántartáshoz, beleértve azt is, hogy milyen járműveket birtokoltak az emberek, a fizikai címüket, telefonszámukat és e-mail címüket.
    • Hozzáférés bármely vállalat flottakezelési funkciójához, a flotta összes járművének megkeresése és kezelése.
  • Porsche
    • Képes a jármű helyének lekérdezésére, járműparancsok küldésére és ügyfélinformációk lekérdezésére a járműtelematikai szolgáltatást érintő sebezhetőségeken keresztül.
  • Toyota
    • IDOR a Toyota Financial-en, amely nyilvánosságra hozza a Toyota pénzügyi ügyfeleinek nevét, telefonszámát, e-mail címét és hitelstátuszát
  • Jaguar, Land Rover
    • Felhasználói fiók IDOR, amely nyilvánosságra hozza a jelszó kivonatát, a nevet, a telefonszámot, a fizikai címet és a járműre vonatkozó információkat.
  • SiriusXM
    • Kiszivárgott AWS kulcsok teljes szervezeti írási/olvasási S3 hozzáféréssel, a Sirius összes fájljának, köztük (látszólag) felhasználói adatbázisoknak, forráskódnak és konfigurációs fájloknak a lekérdezésével.

 

Hozzászólások

Ez nem gyenge.

Értékelés: 

0
Még nincs értékelve

És akkor én meg lassan 128 karakteres jelszavakkal bajlódjak az otthoni gépemen.
Oszt minek...? Ha ittottamott úgyis kiszivárognak adatok.
Ha jól értelmeztem a cikket, Ferrarit nem is kell megvásárolni ha valamit konyít hozzá az ember csak virtuálisan a nevére írat egyet és ennyi.
Lastpass-ék háza táján is volt valami múlt év augusztusa körül ha jól emlékszek. És az pedig egy jelszótároló szolgáltatás aminek bármilyen legkisebb sebezhetősége gyakorlatilag világvége a usereknek akik használják.