Web hackerları vs. otomotiv endüstrisi: Ferrari, BMW, Rolls-Royce, Porsche ve diğerlerindeki kritik açıklar

xguru · 2023-01-06T10:34:02+09:00

Buldukları otomobil şirketi açıklarının tamamını derlemişler Bilgileri fiilen nasıl elde ettiklerini ekran görüntüleriyle birlikte gösteriyorlar (Mercedes, Kia, Ferrari, Hyundai, Honda, ..) Kia, Honda, Infiniti, Nissan, Acura Yalnızca VIN numarasıyla: uzaktan kilit açma, motoru çalıştırma/durdurma, konum görme, farları açma, korna çalma VIN numarasıyla uzaktan hesap ele geçirme ve kişisel verileri edinme (isim, telefon numarası, e-posta, adres) Kullanıcıyı uzaktan kilitleme ve sahipliği değiştirme Kia özelinde uzaktan 360 görünüm kameraya erişim de mümkün Mercedes-Benz Hatalı bir SSO üzerinden yüzlerce görev kritik iç uygulamaya erişim mümkün SSO arkasındaki çeşitli GitHub instance'ları Şirket genelindeki dahili sohbet aracı. Neredeyse tüm kanallara katılmak mümkün SonarQube, Jenkins ve build sunucuları AWS instance'larını yöneten dahili bulut dağıtım hizmeti Dahili araçla ilgili API'ler Birden fazla sistemde uzaktan kod çalıştırma (RCE) Bir bellek sızıntısı üzerinden çalışan/müşteri kişisel verilerine erişim Hyundai, Genesis Yalnızca e-posta adresiyle: uzaktan kilit açma, motoru çalıştırma/durdurma, konum görme, farları açma, korna çalma Yalnızca e-posta adresiyle uzaktan hesap ele geçirme ve kişisel verileri edinme (isim, telefon numarası, e-posta, adres) Kullanıcıyı uzaktan kilitleme ve sahipliği değiştirme BMW, Rolls-Royce Şirket genelindeki bir SSO açığıyla çalışan uygulamalarına erişim Dahili bayi portalına erişip VIN numaralarını sorgulayarak satış belgelerine erişim SSO arkasındaki tüm uygulamalara erişim. Uzaktan çalışanların ve bayilerin kullandıkları dahil Ferrari Tüm Ferrari kullanıcı hesaplarının tamamen zero-interaction şekilde ele geçirilmesi mümkün IDOR ile tüm Ferrari kullanıcı hesaplarına erişim Erişim yetkisi yönetimi olmadığı için saldırgan, çalışanların "back office" yönetici hesaplarını ve kullanıcı hesaplarını oluşturabilir, değiştirebilir, silebilir api.ferrari.com üzerinde HTTP route'ları eklemek mümkün. Mevcut tüm REST connector'ları görülebiliyor Ayrıca Spireon, Ford, Reviver, Porsche, Toyota, Jaguar, Land Rover ve diğerleri

(samcurry.net)

10 puan yazan xguru 2023-01-06 | 1 yorum | WhatsApp'ta paylaş

Buldukları otomobil şirketi açıklarının tamamını derlemişler
- Bilgileri fiilen nasıl elde ettiklerini ekran görüntüleriyle birlikte gösteriyorlar (Mercedes, Kia, Ferrari, Hyundai, Honda, ..)
Kia, Honda, Infiniti, Nissan, Acura
- Yalnızca VIN numarasıyla: uzaktan kilit açma, motoru çalıştırma/durdurma, konum görme, farları açma, korna çalma
- VIN numarasıyla uzaktan hesap ele geçirme ve kişisel verileri edinme (isim, telefon numarası, e-posta, adres)
- Kullanıcıyı uzaktan kilitleme ve sahipliği değiştirme
  - Kia özelinde uzaktan 360 görünüm kameraya erişim de mümkün
Mercedes-Benz
- Hatalı bir SSO üzerinden yüzlerce görev kritik iç uygulamaya erişim mümkün
  - SSO arkasındaki çeşitli GitHub instance'ları
  - Şirket genelindeki dahili sohbet aracı. Neredeyse tüm kanallara katılmak mümkün
  - SonarQube, Jenkins ve build sunucuları
  - AWS instance'larını yöneten dahili bulut dağıtım hizmeti
  - Dahili araçla ilgili API'ler
- Birden fazla sistemde uzaktan kod çalıştırma (RCE)
- Bir bellek sızıntısı üzerinden çalışan/müşteri kişisel verilerine erişim
Hyundai, Genesis
- Yalnızca e-posta adresiyle: uzaktan kilit açma, motoru çalıştırma/durdurma, konum görme, farları açma, korna çalma
- Yalnızca e-posta adresiyle uzaktan hesap ele geçirme ve kişisel verileri edinme (isim, telefon numarası, e-posta, adres)
- Kullanıcıyı uzaktan kilitleme ve sahipliği değiştirme
BMW, Rolls-Royce
- Şirket genelindeki bir SSO açığıyla çalışan uygulamalarına erişim
  - Dahili bayi portalına erişip VIN numaralarını sorgulayarak satış belgelerine erişim
  - SSO arkasındaki tüm uygulamalara erişim. Uzaktan çalışanların ve bayilerin kullandıkları dahil
Ferrari
- Tüm Ferrari kullanıcı hesaplarının tamamen zero-interaction şekilde ele geçirilmesi mümkün
- IDOR ile tüm Ferrari kullanıcı hesaplarına erişim
- Erişim yetkisi yönetimi olmadığı için saldırgan, çalışanların "back office" yönetici hesaplarını ve kullanıcı hesaplarını oluşturabilir, değiştirebilir, silebilir
- api.ferrari.com üzerinde HTTP route'ları eklemek mümkün. Mevcut tüm REST connector'ları görülebiliyor
Ayrıca Spireon, Ford, Reviver, Porsche, Toyota, Jaguar, Land Rover ve diğerleri

1 yorum

ifmkl 2023-01-09

Vay be.... otomobil güvenliği sorunları ciddiymiş.. gerçekten

Web hackerları vs. otomotiv endüstrisi: Ferrari, BMW, Rolls-Royce, Porsche ve diğerlerindeki kritik açıklar

İlgili okumalar

1 yorum