Hackers web vs. la industria automotriz: vulnerabilidades críticas en Ferrari, BMW, Rolls-Royce, Porsche y más

 (samcurry.net)
10 puntos por xguru 2023-01-06 | 1 comentarios | Compartir por WhatsApp
  • Resumen de todas las vulnerabilidades que encontraron en las automotrices
    • Incluso muestran con capturas de pantalla cómo obtuvieron realmente la información (Mercedes, Kia, Ferrari, Hyundai, Honda, ..)
  • Kia, Honda, Infiniti, Nissan, Acura
    • Solo con el número VIN: desbloqueo remoto, encender/apagar el motor, ubicación, encender los faros, activar la bocina
    • Toma remota de cuentas y obtención de datos personales con el número VIN (nombre, teléfono, correo electrónico, dirección)
    • Bloquear remotamente a usuarios y cambiar la propiedad
      • En el caso de Kia, también era posible acceder remotamente a la cámara de vista 360
  • Mercedes-Benz
    • Acceso a cientos de aplicaciones internas de misión crítica mediante un SSO mal configurado
      • Varias instancias de GitHub detrás del SSO
      • Herramienta interna de chat de toda la empresa. Era posible unirse a casi todos los canales
      • SonarQube, Jenkins y subdominios de build
      • Servicio interno de despliegue en la nube que administra instancias de AWS
      • APIs internas relacionadas con vehículos
    • Ejecución remota de código (RCE) en varios sistemas
    • Acceso a datos personales de empleados y clientes mediante un memory leak
  • Hyundai, Genesis
    • Solo con una dirección de correo electrónico: desbloqueo remoto, encender/apagar el motor, ubicación, encender los faros, activar la bocina
    • Toma remota de cuentas y obtención de datos personales solo con la dirección de correo electrónico (nombre, teléfono, correo electrónico, dirección)
    • Bloquear remotamente a usuarios y cambiar la propiedad
  • BMW, Rolls-Royce
    • Acceso a aplicaciones de empleados mediante una vulnerabilidad de SSO a nivel corporativo
      • Acceso al portal interno de concesionarios para consultar números VIN y acceder a documentos de venta
      • Acceso a todas las aplicaciones detrás del SSO, incluidas las que usan empleados remotos y concesionarios
  • Ferrari
    • Posible compromiso total sin interacción de todas las cuentas de usuarios de Ferrari
    • Acceso a todas las cuentas de usuarios de Ferrari mediante IDOR
    • Por falta de control de acceso, un atacante podía crear, modificar y eliminar cuentas administrativas de "back office" de empleados y cuentas de usuarios
    • Posibilidad de agregar rutas HTTP en api.ferrari.com. Se podían ver todos los conectores REST existentes
  • Además: Spireon, Ford, Reviver, Porsche, Toyota, Jaguar, Land Rover, etc.

Lecturas relacionadas

1 comentarios

 
ifmkl 2023-01-09

Vaya... los problemas de seguridad en los autos son graves... en serio