Исследователи рассказали о проблемах сельхоз техники John Deere и Case New Holland - «Новости»

  • 10:30, 19-авг-2021
  • Новости / Отступы и поля / Преимущества стилей / Заработок / Изображения / Блог для вебмастеров / Вёрстка / Текст / Добавления стилей / Видео уроки / Сайтостроение
  • Backer
  • 0

Группа исследователей, во главе с хакером, известным под ником Sick Codes, рассказала на конференции Def Con об обнаружении множества уязвимостей в системах John Deere и Case New Holland, двух крупнейших компаний-производителей сельскохозяйственной техники. Эксперты предупредили, что в руках злоумышленников эти уязвимости могут поставить под угрозу как потребителей, так и глобальную цепочку поставок продуктов питания.



Команда исследователей

Обе компании производят высокотехнологичную технику, используемую в сельском хозяйств, и исследователи уверены, что атака на пользователей таких сельскохозяйственных предприятий может серьезно повлиять на урожайность сельскохозяйственных культур, а также скомпрометировать коммерческую тайну.


Интересно, что John Deere недавно запустила собственную bug bounty программу на HackerOne, и Sick Codes был приглашен присоединиться к инициативе, так как весной текущего года он связывался с компанией по поводу обнаруженных ошибок. Однако в итоге исследователь отказался от участия в программе, так как понял, что в этом случае ему придется подписать соглашение о неразглашении.


Во время доклада на Def Con Sick Codes рассмотрел ряд уязвимостей, в итоге дойдя до проблем, которые позволяют «любому пользователю загружать произвольные файлы, входить в систему под видом любого пользователя <…> загружать все, что мы хотим, скачивать все, что хотим, уничтожить любые данные, авторизоваться в любых учетных записях». Хакеры подчеркивали, что уязвимости могут дать злоумышленникам удаленный доступ для загрузки или выгрузки файлов на сельскохозяйственном оборудовании, включая тракторы.


«Мы могли делать буквально делать все, что пожелаем, с чем угодно в операционном центре John Deere. Точка. После этого мы остановились, потому что, по сути, вся организация была у нас на поводке», — заявил Sick Codes, общаясь с журналистами Vice Motherboard по телефону.  — Если бы никто не сделал того, что мы сделали бесплатно, пришли бы плохие парни и сделали это за деньги».


В ответ на эту презентацию представители John Deere заявили следующее:


«Ни одно из этих заявлений (в том числе сделанных на Def Con) не помогает получить доступ к учетным записям клиентов, агрономическим данным, счетам поставщиков или конфиденциальной личной информации. Кроме того, вопреки утверждениям, сделанным в Def Con, ни одна из проблем, выявленных исследователями, не могла повлиять на используемые машины. John Deere считает безопасность систем и данных в них своим главным приоритетом, и мы неустанно работаем над выявлением и устранением любых неисправностей в кратчайшие сроки. Также John Deere признает важность роли, которую наши продукты играют в обеспечении продовольственной безопасности и в глобальной цепочке поставок продуктов питания».


Кроме того, в компании сообщили, что за последние семь лет увеличили расходы на безопасность «примерно на 750%».


«Если у вас есть доступ к фермам, вы можете осуществить такие вещи, как чрезмерное распыление химикатов на полях. Вы можете устроить такой ферме вечный “отказ в обслуживании”, просто выполнив чрезмерное опрыскивание в одном сезоне, буквально перегрузив плодородную почву слишком большим количеством химикатов», — рассказывал Sick Codes во время презентации.


Так, Case New Holland предоставляет клиентам удаленный доступ к некоторому оборудованию, находящемуся за сотни миль, используя для этого только пользовательские данные. Исследование команды Sick Codes показало, что сервер Case JavaMelody может быть взломан, что приведет к раскрытию конфиденциальных данных, включая данные о местоположении, IP-адреса, идентификаторы сеансов и полные имена людей. Используя эту информацию, злоумышленники смогут выдавать себя за пользователей и проникнуть в систему.


Также хакеры получили доступ к административным учетным данным от John Deere Pega, которые описывают как мастер-ключ для доступа к «критически важной» информации. Кроме того, они обнаружили проблему в системе нумерации пользователей, которая позволяла удаленному злоумышленнику, не прошедшему аутентификацию, получить доступ к личной информации пользователя, включая ID, полные имена и адреса.



Исследователи рассказали о проблемах сельхоз техники John Deere и Case New Holland - «Новости»


Баги были найдены и в системе, которая используется для резервирования демонстрационных единиц техники для выставок и конференций. Исследователи могли бронировать помещения, изменять или отменять встречи. Они также смогли «забронировать» любую демонстрационную машину, которая когда-либо была предоставлена.





Команде Sick Codes также удалось получить исходный пароль дешифрования и сертификат подписи для Okta компании, которая представляет собой SSO-платформу, которую используют, чтобы предоставлять сотрудникам доступ ко всему программному обеспечению компании. По словам Sick Codes, злоумышленник мог использовать это для входа в систему от имени любого пользователя, загрузки или удаления любых данных, удаления учетных записей и многого другого.


По словам Sick Codes, с момента презентации никто из исследовательской группы не получил ответов от John Deere или Case New Holland. Скриншоты, предоставленные группой, подтверждают, что они проинформировали о проблемах главу по информационной безопасности John Deere Джеймса Джонсона, а также сообщили компании о том, что намерены опубликовать свое исследование (заранее предоставив файлами презентации). И хотя ответов от компаний не последовало, согласно сайту Sick Codes, все уязвимости, которые были раскрыты на конференции, все же были исправлены.

Другие новости


Рекомендуем

Комментарии (0)

Комментарии для сайта Cackle



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!