Vulnérabilités critiques chez Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar et Land Rover,
ainsi que la société de gestion de flotte Spireon
Presque toutes les automobiles fabriquées au cours des cinq dernières années avaient une fonctionnalité presque identique. Si un pirate parvenait à trouver des vulnérabilités dans les points de terminaison de l'API utilisée par les systèmes télématiques des véhicules, il pourrait klaxonner, faire clignoter les phares, suivre à distance, verrouiller/déverrouiller et démarrer/arrêter les véhicules, le tout à distance. Même si tous les bogues ont depuis été corrigés, des chercheurs en sécurité ont révélé que de multiples bogues affectant des millions de véhicules de presque toutes les grandes marques automobiles pouvaient permettre à des personnes mal intentionnées de commettre toutes sortes de méfaits - y compris, dans certains cas, des prises de contrôle complètes - en exploitant les vulnérabilités des systèmes télématiques des véhicules, des API automobiles et de l'infrastructure de soutien.
Ces recherches s'appuient sur les précédentes expériences de piratage automobile de Sam Curry, de Yuga Labs, qui ont permis de découvrir des failles affectant les véhicules Hyundai et Genesis, ainsi que les Honda, Nissan, Infiniti et Acura, via une faille d'autorisation dans les services pour véhicules connectés de Sirius XM.
Au cours de leur mission, les chercheurs ont découvert les vulnérabilités suivantes dans les entreprises énumérées ci-dessous :We recently found a vulnerability affecting Hyundai and Genesis vehicles where we could remotely control the locks, engine, horn, headlights, and trunk of vehicles made after 2012.
— Sam Curry (@samwcyo) November 29, 2022
To explain how it worked and how we found it, we have @_specters_ as our mock car thief: pic.twitter.com/WWyY6vFoAF
- Kia, Honda, Infiniti, Nissan, Acura
- Verrouillage, déverrouillage, démarrage et arrêt du moteur à distance, localisation précise, allumage des phares et klaxon des véhicules en utilisant uniquement le numéro d'identification du véhicule ;
- Prise de contrôle du compte à distance et divulgation des informations personnelles via le numéro d'identification du véhicule (nom, numéro de téléphone, adresse électronique, adresse physique) ;
- Possibilité de verrouiller l'accès des utilisateurs à la gestion à distance de leur véhicule et de changer de propriétaire.
- Pour les Kia en particulier, il est possible d'accéder à distance à la caméra à 360° et visualiser des images en direct de la voiture.
- Mercedes-Benz
- Accès à des centaines d'applications internes critiques via un SSO mal configuré, y compris... ;
- Plusieurs instances Github derrière SSO
- Outil de chat interne à l'entreprise, possibilité de rejoindre presque tous les canaux
- SonarQube, Jenkins, divers serveurs de construction.
- Services internes de déploiement dans le nuage pour la gestion des instances AWS
- API internes liées aux véhicules
- Exécution de code à distance sur plusieurs systèmes ;
- Fuites de mémoire conduisant à la divulgation des informations personnelles des employés/clients et à l'accès aux comptes.
- Hyundai, Genesis
- Verrouillage, déverrouillage, démarrage et arrêt du moteur à distance, localisation précise, allumage des phares et klaxon des véhicules en utilisant uniquement l'adresse électronique de la victime ;
- Prise de contrôle du compte à distance et divulgation des informations personnelles via l'adresse électronique de la victime (nom, numéro de téléphone, adresse électronique, adresse physique) ;
- Possibilité de verrouiller l'accès des utilisateurs à la gestion à distance de leur véhicule et de changer de propriétaire.
- BMW, Rolls Royce
- Les vulnérabilités du SSO central à l'échelle de l'entreprise, qui nous permettaient d'accéder à n'importe quelle application d'employé en tant qu'employé, nous ont permis de...
- Accès aux portails internes des concessionnaires où vous pouvez interroger n'importe quel numéro VIN pour récupérer des documents de vente pour BMW ;
- Accéder à n'importe quelle application verrouillée derrière SSO au nom de n'importe quel employé, y compris les applications utilisées par les travailleurs à distance et les concessionnaires.
- Ferrari
- Full zero-interaction account takeover for any Ferrari customer account
- IDOR to access all Ferrari customer records
- Lack of access control allowing an attacker to create, modify, delete employee “back office” administrator user accounts and all user accounts with capabilities to modify Ferrari owned web pages through the CMS system
- Ability to add HTTP routes on api.ferrari.com (rest-connectors) and view all existing rest-connectors and secrets associated with them (authorization headers)
- Spireon
- De multiples vulnérabilités, dont :
- Accès complet de l'administrateur à un panneau d'administration à l'échelle de l'entreprise, avec la possibilité d'envoyer des commandes arbitraires à environ 15,5 millions de véhicules (déverrouillage, démarrage du moteur, désactivation du démarreur, etc.) lire l'emplacement de n'importe quel dispositif, et flasher/mettre à jour le micrologiciel du dispositif ;
- Exécution de code à distance sur les systèmes centraux de gestion des comptes utilisateurs, des appareils et des flottes. Possibilité d'accéder et de gérer toutes les données dans l'ensemble de Spireon ;
- Possibilité de prendre le contrôle de n'importe quelle flotte (cela nous aurait permis de suivre et d'éteindre les démarreurs des véhicules de la police, des ambulances et des forces de l'ordre pour un certain nombre de grandes villes différentes et d'envoyer des commandes à ces véhicules, par exemple "se rendre à cet endroit") ;
- Accès administratif complet à tous les produits Spireon, y compris les suivants... ;
- GoldStar
- LoJack
- FleetLocate
- NSpire
- Trailer & Asset
- Au total, il y avait... ;
- 15,5 millions de dispositifs (principalement des véhicules)
- 1,2 million de comptes d'utilisateurs (comptes d'utilisateurs finaux, gestionnaires de parcs automobiles, etc.)
- Ford
- Divulgation complète de la mémoire sur le véhicule de production L'API télématique divulgue
- Divulgation des DPI des clients et des jetons d'accès pour le suivi et l'exécution de commandes sur les véhicules ;
- Divulgation des informations de configuration utilisées pour les services internes liés à la télématique ;
- Possibilité de s'authentifier sur le compte client, d'accéder à toutes les IPI et d'effectuer des actions sur les véhicules.
- Prise de contrôle du compte du client via une analyse URL incorrecte, permettant à un attaquant d'accéder complètement au compte de la victime, y compris au portail du véhicule.
- Reviver
- Un accès super administratif complet pour gérer tous les comptes d'utilisateurs et les véhicules pour tous les véhicules connectés Reviver. Un attaquant pourrait effectuer les opérations suivantes :
- Suivre la localisation GPS physique et gérer la plaque d'immatriculation pour tous les clients Reviver (par exemple, changer le slogan en bas de la plaque d'immatriculation en un texte arbitraire)
- Mettre à jour le statut de tout véhicule en le faisant passer à "VOLÉ", ce qui met à jour la plaque d'immatriculation et informe les autorités.
- Accéder à tous les dossiers des utilisateurs, y compris les véhicules qu'ils possèdent, leur adresse physique, leur numéro de téléphone et leur adresse électronique.
- Accéder à la fonctionnalité de gestion du parc automobile de n'importe quelle entreprise, localiser et gérer tous les véhicules d'un parc.
- Porsche
- Possibilité d'envoyer la localisation du véhicule, d'envoyer des commandes au véhicule et de récupérer des informations sur le client via des vulnérabilités affectant le service télématique du véhicule
- Toyota
- IDOR sur Toyota Financial qui divulgue le nom, le numéro de téléphone, l'adresse électronique et l'état du prêt de tout client de Toyota Financial
- Jaguar, Land Rover
- IDOR du compte utilisateur divulguant le hachage du mot de passe, le nom, le numéro de téléphone, l'adresse physique et les informations sur le véhicule
- SiriusXM
- Fuite des clés AWS avec un accès organisationnel complet en lecture/écriture au S3, permettant de récupérer tous les fichiers, y compris (ce qui semble être) les bases de données des utilisateurs, le code source et les fichiers de configuration pour Sirius
« Les entreprises concernées ont toutes corrigé les problèmes dans un délai d'un ou deux jours après le signalement, a déclaré Curry. Nous avons travaillé avec chacune d'entre elles pour les valider et nous assurer qu'il n'y avait pas de contournement. » Les bugs les plus graves, du moins du point de vue de la sécurité publique, ont été découverts chez Spireon, qui possède plusieurs marques de suivi de véhicules GPS et de gestion de flotte, dont OnStar, GoldStar, LoJack, FleetLocate et NSpire, couvrant 15 millions de véhicules connectés.
Il s'avère que Spireon aurait été une véritable mine d'or pour les malfaiteurs. Curry et son équipe ont découvert de multiples vulnérabilités en matière d'injection SQL et de contournement des autorisations pour exécuter du code à distance sur l'ensemble de Spireon et prendre le contrôle de n'importe quel véhicule de la flotte. « Cela nous aurait permis de suivre et de couper les démarreurs des véhicules de la police, des ambulances et des forces de l'ordre dans un certain nombre de grandes villes et d'envoyer des commandes à ces véhicules », ont écrit les chercheurs.
Les bogues leur donnaient également un accès complet d'administrateur à Spireon et à un panneau d'administration à l'échelle de l'entreprise, à partir duquel un attaquant pouvait envoyer des commandes arbitraires aux 15 millions de véhicules, ce qui permettait de déverrouiller les portes, de klaxonner, de démarrer les moteurs et de désactiver les démarreurs à distance.
« Nos professionnels de la cybersécurité ont rencontré le chercheur en sécurité pour discuter et évaluer les prétendues vulnérabilités du système et ont immédiatement mis en œuvre des mesures correctives dans la mesure requise », a déclaré un porte-parole de Spireon. « Nous avons également pris des mesures proactives pour renforcer davantage la sécurité dans l'ensemble de notre portefeuille de produits dans le cadre de notre engagement continu envers nos clients en tant que fournisseur leader de solutions télématiques après-vente. » « Spireon prend toutes les questions de sécurité au sérieux et utilise un vaste ensemble d'outils à la pointe de l'industrie pour surveiller et analyser ses produits et services pour les risques de sécurité potentiels connus et nouveaux », a ajouté le porte-parole.
Ferrari, BMW et Rolls Royce
Chez Ferrari, les chercheurs ont découvert des contrôles d'accès trop permissifs qui leur ont permis d'accéder au code JavaScript de plusieurs applications internes. Ce code contenait des clés d'API et des informations d'identification qui auraient pu permettre aux attaquants d'accéder aux dossiers des clients et de prendre le contrôle (ou de supprimer) leurs comptes.
« De plus, un attaquant pouvait POST sur le point de terminaison /core/api/v1/Users/:id/Roles pour modifier son rôle d'utilisateur, en se donnant des autorisations de super-utilisateur ou en devenant propriétaire de Ferrari », ont déclaré les chercheurs. L'absence de contrôles d'accès a également pu permettre à des personnes mal intentionnées de créer et de supprimer des comptes d'utilisateurs administrateurs, puis de modifier les sites Web appartenant à Ferrari, y compris son système CMS.
Parallèlement, un portail de signature unique (SSO) mal configuré pour tous les employés et les sous-traitants de BMW, propriétaire de Rolls-Royce, aurait permis l'accès à n'importe quelle application derrière le portail. Ainsi, par exemple, un pirate pourrait accéder à un portail interne de concessionnaire, demander un numéro d'identification du véhicule et récupérer tous les documents de vente associés au véhicule.
De même, un SSO mal configuré pour Mercedes-Benz a permis aux chercheurs de créer un compte utilisateur sur un site web destiné aux ateliers de réparation de véhicules pour demander des outils spécifiques. Ils ont ensuite utilisé ce compte pour se connecter à Mercedes-Benz Github, qui contient la documentation interne et le code source de divers projets Mercedes-Benz, notamment l'application Me Connect utilisée par les clients pour se connecter à distance à leurs véhicules.
Source : Samcurry
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
36 % des employés de la tech ne font plus que le strict minimum pour assurer la sécurité au travail, contre 11 % dans les autres secteurs, en raison des distractions liées aux événements mondiaux
Les cyberattaques pourraient devenir "non assurables" à mesure que les perturbations causées par les piratages continueront de croître, selon le directeur de la compagnie d'assurance suisse Zurich
Partager