Hackers web vs l’industrie automobile : des vulnérabilités critiques chez Ferrari, BMW, Rolls-Royce, Porsche et d’autres

xguru · 2023-01-06T10:34:02+09:00

Récapitulatif de toutes les vulnérabilités qu’ils ont découvertes chez des constructeurs automobiles Ils montrent même, captures d’écran à l’appui, comment ils ont concrètement obtenu les informations (Mercedes, Kia, Ferrari, Hyundai, Honda, ..) Kia, Honda, Infiniti, Nissan, Acura Avec le seul numéro VIN : déverrouillage à distance, démarrage/extinction du moteur, localisation, allumage des phares, activation du klaxon Prise de contrôle à distance du compte et obtention de données personnelles via le numéro VIN (nom, numéro de téléphone, e-mail, adresse) Verrouillage de l’utilisateur à distance et changement de propriété Dans le cas de Kia, il était aussi possible d’accéder à la caméra 360° à distance Mercedes-Benz Accès à des centaines d’applications internes critiques pour la mission via un SSO mal configuré Plusieurs instances GitHub derrière le SSO Outil de chat interne à l’échelle de l’entreprise, avec possibilité de rejoindre presque tous les canaux SonarQube, Jenkins et des serveurs de build Service interne de déploiement cloud gérant des instances AWS API internes liées aux véhicules Exécution de code à distance (RCE) sur plusieurs systèmes Accès à des données personnelles d’employés/clients via une fuite mémoire Hyundai, Genesis Avec la seule adresse e-mail : déverrouillage à distance, démarrage/extinction du moteur, localisation, allumage des phares, activation du klaxon Prise de contrôle à distance du compte et obtention de données personnelles via la seule adresse e-mail (nom, numéro de téléphone, e-mail, adresse) Verrouillage de l’utilisateur à distance et changement de propriété BMW, Rolls-Royce Accès aux applications des employés via une vulnérabilité SSO à l’échelle de l’entreprise Accès au portail interne des concessionnaires pour consulter des numéros VIN et accéder aux documents de vente Accès à toutes les applications derrière le SSO, y compris celles utilisées par les télétravailleurs et les concessionnaires Ferrari Compromission complète, sans aucune interaction, de tous les comptes utilisateurs Ferrari Accès à tous les comptes utilisateurs Ferrari via un IDOR En l’absence de contrôle d’accès, un attaquant pouvait créer, modifier et supprimer des comptes administrateur « back office » d’employés ainsi que des comptes utilisateurs Possibilité d’ajouter des routes HTTP à api.ferrari.com et de voir tous les connecteurs REST existants Et aussi Spireon, Ford, Reviver, Porsche, Toyota, Jaguar, Land Rover, etc.

(samcurry.net)

10 points par xguru 2023-01-06 | 1 commentaires | Partager sur WhatsApp

Récapitulatif de toutes les vulnérabilités qu’ils ont découvertes chez des constructeurs automobiles
- Ils montrent même, captures d’écran à l’appui, comment ils ont concrètement obtenu les informations (Mercedes, Kia, Ferrari, Hyundai, Honda, ..)
Kia, Honda, Infiniti, Nissan, Acura
- Avec le seul numéro VIN : déverrouillage à distance, démarrage/extinction du moteur, localisation, allumage des phares, activation du klaxon
- Prise de contrôle à distance du compte et obtention de données personnelles via le numéro VIN (nom, numéro de téléphone, e-mail, adresse)
- Verrouillage de l’utilisateur à distance et changement de propriété
  - Dans le cas de Kia, il était aussi possible d’accéder à la caméra 360° à distance
Mercedes-Benz
- Accès à des centaines d’applications internes critiques pour la mission via un SSO mal configuré
  - Plusieurs instances GitHub derrière le SSO
  - Outil de chat interne à l’échelle de l’entreprise, avec possibilité de rejoindre presque tous les canaux
  - SonarQube, Jenkins et des serveurs de build
  - Service interne de déploiement cloud gérant des instances AWS
  - API internes liées aux véhicules
- Exécution de code à distance (RCE) sur plusieurs systèmes
- Accès à des données personnelles d’employés/clients via une fuite mémoire
Hyundai, Genesis
- Avec la seule adresse e-mail : déverrouillage à distance, démarrage/extinction du moteur, localisation, allumage des phares, activation du klaxon
- Prise de contrôle à distance du compte et obtention de données personnelles via la seule adresse e-mail (nom, numéro de téléphone, e-mail, adresse)
- Verrouillage de l’utilisateur à distance et changement de propriété
BMW, Rolls-Royce
- Accès aux applications des employés via une vulnérabilité SSO à l’échelle de l’entreprise
  - Accès au portail interne des concessionnaires pour consulter des numéros VIN et accéder aux documents de vente
  - Accès à toutes les applications derrière le SSO, y compris celles utilisées par les télétravailleurs et les concessionnaires
Ferrari
- Compromission complète, sans aucune interaction, de tous les comptes utilisateurs Ferrari
- Accès à tous les comptes utilisateurs Ferrari via un IDOR
- En l’absence de contrôle d’accès, un attaquant pouvait créer, modifier et supprimer des comptes administrateur « back office » d’employés ainsi que des comptes utilisateurs
- Possibilité d’ajouter des routes HTTP à api.ferrari.com et de voir tous les connecteurs REST existants
Et aussi Spireon, Ford, Reviver, Porsche, Toyota, Jaguar, Land Rover, etc.

1 commentaires

ifmkl 2023-01-09

Waouh... les problèmes de sécurité automobile sont graves... vraiment.

Hackers web vs l’industrie automobile : des vulnérabilités critiques chez Ferrari, BMW, Rolls-Royce, Porsche et d’autres

À lire aussi

1 commentaires