Peretas web vs. industri otomotif: kerentanan kritis pada Ferrari, BMW, Rolls-Royce, Porsche, dan lainnya

xguru · 2023-01-06T10:34:02+09:00

Merangkum semua kerentanan di perusahaan otomotif yang mereka temukan Menunjukkan dengan tangkapan layar bagaimana mereka benar-benar memperoleh informasi tersebut (Mercedes, Kia, Ferrari, Hyundai, Honda, ..) Kia, Honda, Infiniti, Nissan, Acura Hanya dengan nomor VIN: membuka kunci dari jarak jauh, menyalakan/mematikan mesin, lokasi, menyalakan lampu depan, membunyikan klakson Pengambilalihan akun jarak jauh dan perolehan data pribadi hanya dengan nomor VIN (nama, nomor telepon, email, alamat) Mengunci pengguna dari jarak jauh, dan mengubah kepemilikan Untuk Kia, bahkan memungkinkan akses ke kamera 360-view dari jarak jauh Mercedes-Benz Melalui SSO yang salah konfigurasi, dapat mengakses ratusan aplikasi internal mission-critical Berbagai instance GitHub di balik SSO Alat chat internal seluruh perusahaan. Dapat bergabung ke hampir semua channel SonarQube, Jenkins, dan sub build Layanan deployment cloud internal yang mengelola instance AWS API internal terkait kendaraan Remote code execution (RCE) pada berbagai sistem Akses ke data pribadi karyawan/pelanggan melalui memory leak Hyundai, Genesis Hanya dengan alamat email: membuka kunci dari jarak jauh, menyalakan/mematikan mesin, lokasi, menyalakan lampu depan, membunyikan klakson Pengambilalihan akun jarak jauh dan perolehan data pribadi hanya dengan alamat email (nama, nomor telepon, email, alamat) Mengunci pengguna dari jarak jauh, dan mengubah kepemilikan BMW, Rolls-Royce Mengakses aplikasi karyawan melalui kerentanan SSO di seluruh perusahaan Mengakses portal dealer internal untuk mencari nomor VIN dan mengakses dokumen penjualan Mengakses semua aplikasi di balik SSO, termasuk yang digunakan pekerja jarak jauh dan dealer Ferrari Dimungkinkan pengambilalihan zero-interaction penuh atas semua akun pengguna Ferrari Mengakses semua akun pengguna Ferrari melalui IDOR Karena tidak ada kontrol manajemen akses, penyerang dapat membuat, mengubah, dan menghapus akun admin "back office" karyawan maupun akun pengguna Dapat menambahkan HTTP Routes ke api.ferrari.com. Bisa melihat semua konektor REST yang ada Selain itu: Spireon, Ford, Reviver, Porsche, Toyota, Jaguar, Land Rover, dll.

(samcurry.net)

10 poin oleh xguru 2023-01-06 | 1 komentar | Bagikan ke WhatsApp

Merangkum semua kerentanan di perusahaan otomotif yang mereka temukan
- Menunjukkan dengan tangkapan layar bagaimana mereka benar-benar memperoleh informasi tersebut (Mercedes, Kia, Ferrari, Hyundai, Honda, ..)
Kia, Honda, Infiniti, Nissan, Acura
- Hanya dengan nomor VIN: membuka kunci dari jarak jauh, menyalakan/mematikan mesin, lokasi, menyalakan lampu depan, membunyikan klakson
- Pengambilalihan akun jarak jauh dan perolehan data pribadi hanya dengan nomor VIN (nama, nomor telepon, email, alamat)
- Mengunci pengguna dari jarak jauh, dan mengubah kepemilikan
  - Untuk Kia, bahkan memungkinkan akses ke kamera 360-view dari jarak jauh
Mercedes-Benz
- Melalui SSO yang salah konfigurasi, dapat mengakses ratusan aplikasi internal mission-critical
  - Berbagai instance GitHub di balik SSO
  - Alat chat internal seluruh perusahaan. Dapat bergabung ke hampir semua channel
  - SonarQube, Jenkins, dan sub build
  - Layanan deployment cloud internal yang mengelola instance AWS
  - API internal terkait kendaraan
- Remote code execution (RCE) pada berbagai sistem
- Akses ke data pribadi karyawan/pelanggan melalui memory leak
Hyundai, Genesis
- Hanya dengan alamat email: membuka kunci dari jarak jauh, menyalakan/mematikan mesin, lokasi, menyalakan lampu depan, membunyikan klakson
- Pengambilalihan akun jarak jauh dan perolehan data pribadi hanya dengan alamat email (nama, nomor telepon, email, alamat)
- Mengunci pengguna dari jarak jauh, dan mengubah kepemilikan
BMW, Rolls-Royce
- Mengakses aplikasi karyawan melalui kerentanan SSO di seluruh perusahaan
  - Mengakses portal dealer internal untuk mencari nomor VIN dan mengakses dokumen penjualan
  - Mengakses semua aplikasi di balik SSO, termasuk yang digunakan pekerja jarak jauh dan dealer
Ferrari
- Dimungkinkan pengambilalihan zero-interaction penuh atas semua akun pengguna Ferrari
- Mengakses semua akun pengguna Ferrari melalui IDOR
- Karena tidak ada kontrol manajemen akses, penyerang dapat membuat, mengubah, dan menghapus akun admin "back office" karyawan maupun akun pengguna
- Dapat menambahkan HTTP Routes ke api.ferrari.com. Bisa melihat semua konektor REST yang ada
Selain itu: Spireon, Ford, Reviver, Porsche, Toyota, Jaguar, Land Rover, dll.

1 komentar

ifmkl 2023-01-09

Wah.... masalah keamanan mobil serius sekali.. benar-benar

Peretas web vs. industri otomotif: kerentanan kritis pada Ferrari, BMW, Rolls-Royce, Porsche, dan lainnya

Bacaan terkait

1 komentar