Hackers web vs. indústria automotiva: vulnerabilidades críticas em Ferrari, BMW, Rolls-Royce, Porsche e outras

 (samcurry.net)
10 pontos por xguru 2023-01-06 | 1 comentários | Compartilhar no WhatsApp
  • Organização de todas as vulnerabilidades encontradas nas montadoras
    • Mostram até como obtiveram as informações, com capturas de tela (Mercedes, Kia, Ferrari, Hyundai, Honda, ..)
  • Kia, Honda, Infiniti, Nissan, Acura
    • Apenas com o número VIN: destravamento remoto, ligar/desligar o motor, localização, acender os faróis, buzina
    • Sequestro remoto de conta e obtenção de dados pessoais apenas com o número VIN (nome, telefone, e-mail, endereço)
    • Bloquear remotamente o usuário e alterar a titularidade
      • No caso da Kia, também era possível acessar remotamente a câmera de visão 360
  • Mercedes-Benz
    • Acesso a centenas de aplicações internas de missão crítica por meio de SSO configurado incorretamente
      • Várias instâncias do GitHub atrás do SSO
      • Ferramenta interna de chat de toda a empresa, com possibilidade de entrar em quase todos os canais
      • SonarQube, Jenkins e servidores de build
      • Serviço interno de deploy em nuvem que gerencia instâncias AWS
      • APIs internas relacionadas aos veículos
    • Execução remota de código (RCE) em vários sistemas
    • Acesso a dados pessoais de funcionários/clientes por meio de memory leak
  • Hyundai, Genesis
    • Apenas com endereço de e-mail: destravamento remoto, ligar/desligar o motor, localização, acender os faróis, buzina
    • Sequestro remoto de conta e obtenção de dados pessoais apenas com endereço de e-mail (nome, telefone, e-mail, endereço)
    • Bloquear remotamente o usuário e alterar a titularidade
  • BMW, Rolls-Royce
    • Acesso a aplicações de funcionários por uma vulnerabilidade de SSO em toda a empresa
      • Acesso ao portal interno de concessionárias para consultar números VIN e acessar documentos de venda
      • Acesso a todas as aplicações atrás do SSO, incluindo as usadas por trabalhadores remotos e concessionárias
  • Ferrari
    • Possibilidade de comprometimento completo, sem qualquer interação do usuário, de todas as contas de usuários Ferrari
    • Acesso a todas as contas de usuários Ferrari via IDOR
    • Falta de controle de acesso permitia ao invasor criar, modificar e excluir contas administrativas de "back office" de funcionários e contas de usuários
    • Possibilidade de adicionar rotas HTTP em api.ferrari.com; era possível ver todos os conectores REST existentes
  • Além disso: Spireon, Ford, Reviver, Porsche, Toyota, Jaguar, Land Rover etc.

Leituras relacionadas

1 comentários

 
ifmkl 2023-01-09

Nossa... os problemas de segurança automotiva são graves mesmo.. de verdade