Presque toutes les automobiles fabriques au cours des cinq dernires annes avaient une fonctionnalit presque identique. Si un pirate parvenait trouver des vulnrabilits dans les points de terminaison de l’API utilise par les systmes tlmatiques des vhicules, il pourrait klaxonner, faire clignoter les phares, suivre distance, verrouiller/dverrouiller et dmarrer/arrter les vhicules, le tout distance. Mme si tous les bogues ont depuis t corrigs, des chercheurs en scurit ont rvl que de multiples bogues affectant des millions de vhicules de presque toutes les grandes marques automobiles pouvaient permettre des personnes mal intentionnes de commettre toutes sortes de mfaits – y compris, dans certains cas, des prises de contrle compltes – en exploitant les vulnrabilits des systmes tlmatiques des vhicules, des API automobiles et de l’infrastructure de soutien.
Ces recherches s’appuient sur les prcdentes expriences de piratage automobile de Sam Curry, de Yuga Labs, qui ont permis de dcouvrir des failles affectant les vhicules Hyundai et Genesis, ainsi que les Honda, Nissan, Infiniti et Acura, via une faille d’autorisation dans les services pour vhicules connects de Sirius XM.
We recently found a vulnerability affecting Hyundai and Genesis vehicles where we could remotely control the locks, engine, horn, headlights, and trunk of vehicles made after 2012.
To explain how it worked and how we found it, we have @_specters_ as our mock car thief: pic.twitter.com/WWyY6vFoAF
— Sam Curry (@samwcyo) November 29, 2022
Au cours de leur mission, les chercheurs ont dcouvert les vulnrabilits suivantes dans les entreprises numres ci-dessous :
- Kia, Honda, Infiniti, Nissan, Acura
- Verrouillage, dverrouillage, dmarrage et arrt du moteur distance, localisation prcise, allumage des phares et klaxon des vhicules en utilisant uniquement le numro d’identification du vhicule ;
- Prise de contrle du compte distance et divulgation des informations personnelles via le numro d’identification du vhicule (nom, numro de tlphone, adresse lectronique, adresse physique) ;
- Possibilit de verrouiller l’accs des utilisateurs la gestion distance de leur vhicule et de changer de propritaire.
- Pour les Kia en particulier, nous pouvions accder distance la camra 360 et visualiser des images en direct de la voiture.
- Mercedes-Benz
- Accs des centaines d’applications internes critiques via un SSO mal configur, y compris… ;
- Plusieurs instances Github derrire SSO
- Outil de chat interne l’entreprise, possibilit de rejoindre presque tous les canaux
- SonarQube, Jenkins, divers serveurs de construction.
- Services internes de dploiement dans le nuage pour la gestion des instances AWS
- API internes lies aux vhicules
- Excution de code distance sur plusieurs systmes ;
- Fuites de mmoire conduisant la divulgation des informations personnelles des employs/clients et l’accs aux comptes.
- Accs des centaines d’applications internes critiques via un SSO mal configur, y compris… ;
- Hyundai, Genesis
- Verrouillage, dverrouillage, dmarrage et arrt du moteur distance, localisation prcise, allumage des phares et klaxon des vhicules en utilisant uniquement l’adresse lectronique de la victime ;
- Prise de contrle du compte distance et divulgation des informations personnelles via l’adresse lectronique de la victime (nom, numro de tlphone, adresse lectronique, adresse physique) ;
- Possibilit de verrouiller l’accs des utilisateurs la gestion distance de leur vhicule et de changer de propritaire.
- BMW, Rolls Royce
- Les vulnrabilits du SSO central l’chelle de l’entreprise, qui nous permettaient d’accder n’importe quelle application d’employ en tant qu’employ, nous ont permis de…
- Accs aux portails internes des concessionnaires o vous pouvez interroger n’importe quel numro VIN pour rcuprer des documents de vente pour BMW ;
- Accder n’importe quelle application verrouille derrire SSO au nom de n’importe quel employ, y compris les applications utilises par les travailleurs distance et les concessionnaires.
- Les vulnrabilits du SSO central l’chelle de l’entreprise, qui nous permettaient d’accder n’importe quelle application d’employ en tant qu’employ, nous ont permis de…
- Ferrari
- Full zero-interaction account takeover for any Ferrari customer account
- IDOR to access all Ferrari customer records
- Lack of access control allowing an attacker to create, modify, delete employee back office administrator user accounts and all user accounts with capabilities to modify Ferrari owned web pages through the CMS system
- Ability to add HTTP routes on api.ferrari.com (rest-connectors) and view all existing rest-connectors and secrets associated with them (authorization headers)
- Spireon
- De multiples vulnrabilits, dont :
- Accs complet de l’administrateur un panneau d’administration l’chelle de l’entreprise, avec la possibilit d’envoyer des commandes arbitraires environ 15,5 millions de vhicules (dverrouillage, dmarrage du moteur, dsactivation du dmarreur, etc.) lire l’emplacement de n’importe quel dispositif, et flasher/mettre jour le micrologiciel du dispositif ;
- Excution de code distance sur les systmes centraux de gestion des comptes utilisateurs, des appareils et des flottes. Possibilit d’accder et de grer toutes les donnes dans l’ensemble de Spireon ;
- Possibilit de prendre le contrle de n’importe quelle flotte (cela nous aurait permis de suivre et d’teindre les dmarreurs des vhicules de la police, des ambulances et des forces de l’ordre pour un certain nombre de grandes villes diffrentes et d’envoyer des commandes ces vhicules, par exemple « se rendre cet endroit ») ;
- Accs administratif complet tous les produits Spireon, y compris les suivants… ;
- GoldStar
- LoJack
- FleetLocate
- NSpire
- Trailer & Asset
- Au total, il y avait… ;
- 15,5 millions de dispositifs (principalement des vhicules)
- 1,2 million de comptes d’utilisateurs (comptes d’utilisateurs finaux, gestionnaires de parcs automobiles, etc.)
- De multiples vulnrabilits, dont :
- Ford
- Divulgation complte de la mmoire sur le vhicule de production L’API tlmatique divulgue
- Divulgation des DPI des clients et des jetons d’accs pour le suivi et l’excution de commandes sur les vhicules ;
- Divulgation des informations de configuration utilises pour les services internes lis la tlmatique ;
- Possibilit de s’authentifier sur le compte client, d’accder toutes les IPI et d’effectuer des actions sur les vhicules.
- Prise de contrle du compte du client via une analyse URL incorrecte, permettant un attaquant d’accder compltement au compte de la victime, y compris au portail du vhicule.
- Divulgation complte de la mmoire sur le vhicule de production L’API tlmatique divulgue
- Reviver
- Un accs super administratif complet pour grer tous les comptes d’utilisateurs et les vhicules pour tous les vhicules connects Reviver. Un attaquant pourrait effectuer les oprations suivantes :
- Suivre la localisation GPS physique et grer la plaque d’immatriculation pour tous les clients Reviver (par exemple, changer le slogan en bas de la plaque d’immatriculation en un texte arbitraire)
- Mettre jour le statut de tout vhicule en le faisant passer « VOL », ce qui met jour la plaque d’immatriculation et informe les autorits.
- Accder tous les dossiers des utilisateurs, y compris les vhicules qu’ils possdent, leur adresse physique, leur numro de tlphone et leur adresse lectronique.
- Accder la fonctionnalit de gestion du parc automobile de n’importe quelle entreprise, localiser et grer tous les vhicules d’un parc.
- Un accs super administratif complet pour grer tous les comptes d’utilisateurs et les vhicules pour tous les vhicules connects Reviver. Un attaquant pourrait effectuer les oprations suivantes :
- Porsche
- Possibilit d’envoyer la localisation du vhicule, d’envoyer des commandes au vhicule et de rcuprer des informations sur le client via des vulnrabilits affectant le service tlmatique du vhicule
- Toyota
- IDOR sur Toyota Financial qui divulgue le nom, le numro de tlphone, l’adresse lectronique et l’tat du prt de tout client de Toyota Financial
- Jaguar, Land Rover
- IDOR du compte utilisateur divulguant le hachage du mot de passe, le nom, le numro de tlphone, l’adresse physique et les informations sur le vhicule
- SiriusXM
- Fuite des cls AWS avec un accs organisationnel complet en lecture/criture au S3, permettant de rcuprer tous les fichiers, y compris (ce qui semble tre) les bases de donnes des utilisateurs, le code source et les fichiers de configuration pour Sirius
Les entreprises concernes ont toutes corrig les problmes dans un dlai d’un ou deux jours aprs le signalement, a dclar Curry. Nous avons travaill avec chacune d’entre elles pour les valider et nous assurer qu’il n’y avait pas de contournement. Les bugs les plus graves, du moins du point de vue de la scurit publique, ont t dcouverts chez Spireon, qui possde plusieurs marques de suivi de vhicules GPS et de gestion de flotte, dont OnStar, GoldStar, LoJack, FleetLocate et NSpire, couvrant 15 millions de vhicules connects.
Il s’avre que Spireon aurait t une vritable mine d’or pour les malfaiteurs. Curry et son quipe ont dcouvert de multiples vulnrabilits en matire d’injection SQL et de contournement des autorisations pour excuter du code distance sur l’ensemble de Spireon et prendre le contrle de n’importe quel vhicule de la flotte. Cela nous aurait permis de suivre et de couper les dmarreurs des vhicules de la police, des ambulances et des forces de l’ordre dans un certain nombre de grandes villes et d’envoyer des commandes ces vhicules , ont crit les chercheurs.
Les bogues leur donnaient galement un accs complet d’administrateur Spireon et un panneau d’administration l’chelle de l’entreprise, partir duquel un attaquant pouvait envoyer des commandes arbitraires aux 15 millions de vhicules, ce qui permettait de dverrouiller les portes, de klaxonner, de dmarrer les moteurs et de dsactiver les dmarreurs distance.
Nos professionnels de la cyberscurit ont rencontr le chercheur en scurit pour discuter et valuer les prtendues vulnrabilits du systme et ont immdiatement mis en uvre des mesures correctives dans la mesure requise , a dclar un porte-parole de Spireon. Nous avons galement pris des mesures proactives pour renforcer davantage la scurit dans l’ensemble de notre portefeuille de produits dans le cadre de notre engagement continu envers nos clients en tant que fournisseur leader de solutions tlmatiques aprs-vente. Spireon prend toutes les questions de scurit au srieux et utilise un vaste ensemble d’outils la pointe de l’industrie pour surveiller et analyser ses produits et services pour les risques de scurit potentiels connus et nouveaux , a ajout le porte-parole.
Ferrari, BMW et Rolls Royce
Chez Ferrari, les chercheurs ont dcouvert des contrles d’accs trop permissifs qui leur ont permis d’accder au code JavaScript de plusieurs applications internes. Ce code contenait des cls d’API et des informations d’identification qui auraient pu permettre aux attaquants d’accder aux dossiers des clients et de prendre le contrle (ou de supprimer) leurs comptes.
De plus, un attaquant pouvait POST sur le point de terminaison /core/api/v1/Users/:id/Roles pour modifier son rle d’utilisateur, en se donnant des autorisations de super-utilisateur ou en devenant propritaire de Ferrari , ont dclar les chercheurs. L’absence de contrles d’accs a galement pu permettre des personnes mal intentionnes de crer et de supprimer des comptes d’utilisateurs administrateurs, puis de modifier les sites Web appartenant Ferrari, y compris son systme CMS.
Paralllement, un portail de signature unique (SSO) mal configur pour tous les employs et les sous-traitants de BMW, propritaire de Rolls-Royce, aurait permis l’accs n’importe quelle application derrire le portail. Ainsi, par exemple, un pirate pourrait accder un portail interne de concessionnaire, demander un numro d’identification du vhicule et rcuprer tous les documents de vente associs au vhicule.
De mme, un SSO mal configur pour Mercedes-Benz a permis aux chercheurs de crer un compte utilisateur sur un site web destin aux ateliers de rparation de vhicules pour demander des outils spcifiques. Ils ont ensuite utilis ce compte pour se connecter Mercedes-Benz Github, qui contient la documentation interne et le code source de divers projets Mercedes-Benz, notamment l’application Me Connect utilise par les clients pour se connecter distance leurs vhicules.
Source : Samcurry
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :