Web-Hacker vs. Autoindustrie: Kritische Schwachstellen bei Ferrari, BMW, Rolls-Royce, Porsche und mehr

xguru · 2023-01-06T10:34:02+09:00

Zusammenfassung aller von ihnen entdeckten Schwachstellen bei Autoherstellern Mit Screenshots wird sogar gezeigt, wie sie tatsächlich an die Informationen gelangt sind (Mercedes, Kia, Ferrari, Hyundai, Honda, ..) Kia, Honda, Infiniti, Nissan, Acura Nur mit der VIN-Nummer: Remote-Entriegelung, Motor starten/stoppen, Standort, Scheinwerfer einschalten, Hupe betätigen Mit der VIN-Nummer Remote-Übernahme von Konten und Abruf personenbezogener Daten (Name, Telefonnummer, E-Mail, Adresse) Nutzer aus der Ferne aussperren und Eigentum ändern Bei Kia war sogar der Zugriff auf die 360-Grad-Kamera aus der Ferne möglich Mercedes-Benz Über fehlerhaftes SSO Zugriff auf Hunderte mission-kritische interne Anwendungen möglich Mehrere GitHub-Instanzen hinter dem SSO Internes Chat-Tool für das gesamte Unternehmen, Beitritt zu fast allen Kanälen möglich SonarQube, Jenkins und Build-Server Interner Cloud-Deployment-Service zur Verwaltung von AWS-Instanzen Interne fahrzeugbezogene APIs Remote Code Execution (RCE) auf mehreren Systemen Zugriff auf personenbezogene Daten von Mitarbeitenden/Kunden über ein Memory Leak Hyundai, Genesis Nur mit der E-Mail-Adresse: Remote-Entriegelung, Motor starten/stoppen, Standort, Scheinwerfer einschalten, Hupe betätigen Nur mit der E-Mail-Adresse Remote-Übernahme von Konten und Abruf personenbezogener Daten (Name, Telefonnummer, E-Mail, Adresse) Nutzer aus der Ferne aussperren und Eigentum ändern BMW, Rolls-Royce Unternehmensweite SSO-Schwachstelle ermöglichte Zugriff auf Mitarbeiteranwendungen Zugriff auf internes Händlerportal, VIN-Nummern nachschlagen und auf Verkaufsdokumente zugreifen Zugriff auf alle Anwendungen hinter dem SSO, einschließlich der von Remote-Mitarbeitenden und Händlern genutzten Ferrari Vollständige Zero-Interaction-Übernahme aller Ferrari-Benutzerkonten möglich Zugriff auf alle Ferrari-Benutzerkonten per IDOR Wegen fehlender Zugriffskontrolle konnten Angreifer „Backoffice“-Admin-Konten und Benutzerkonten von Mitarbeitenden erstellen, ändern und löschen Möglichkeit, HTTP Routes zu api.ferrari.com hinzuzufügen; alle bestehenden REST-Connectoren einsehbar Außerdem betroffen: Spireon, Ford, Reviver, Porsche, Toyota, Jaguar, Land Rover und weitere

(samcurry.net)

10 Punkte von xguru 2023-01-06 | 1 Kommentare | Auf WhatsApp teilen

Zusammenfassung aller von ihnen entdeckten Schwachstellen bei Autoherstellern
- Mit Screenshots wird sogar gezeigt, wie sie tatsächlich an die Informationen gelangt sind (Mercedes, Kia, Ferrari, Hyundai, Honda, ..)
Kia, Honda, Infiniti, Nissan, Acura
- Nur mit der VIN-Nummer: Remote-Entriegelung, Motor starten/stoppen, Standort, Scheinwerfer einschalten, Hupe betätigen
- Mit der VIN-Nummer Remote-Übernahme von Konten und Abruf personenbezogener Daten (Name, Telefonnummer, E-Mail, Adresse)
- Nutzer aus der Ferne aussperren und Eigentum ändern
  - Bei Kia war sogar der Zugriff auf die 360-Grad-Kamera aus der Ferne möglich
Mercedes-Benz
- Über fehlerhaftes SSO Zugriff auf Hunderte mission-kritische interne Anwendungen möglich
  - Mehrere GitHub-Instanzen hinter dem SSO
  - Internes Chat-Tool für das gesamte Unternehmen, Beitritt zu fast allen Kanälen möglich
  - SonarQube, Jenkins und Build-Server
  - Interner Cloud-Deployment-Service zur Verwaltung von AWS-Instanzen
  - Interne fahrzeugbezogene APIs
- Remote Code Execution (RCE) auf mehreren Systemen
- Zugriff auf personenbezogene Daten von Mitarbeitenden/Kunden über ein Memory Leak
Hyundai, Genesis
- Nur mit der E-Mail-Adresse: Remote-Entriegelung, Motor starten/stoppen, Standort, Scheinwerfer einschalten, Hupe betätigen
- Nur mit der E-Mail-Adresse Remote-Übernahme von Konten und Abruf personenbezogener Daten (Name, Telefonnummer, E-Mail, Adresse)
- Nutzer aus der Ferne aussperren und Eigentum ändern
BMW, Rolls-Royce
- Unternehmensweite SSO-Schwachstelle ermöglichte Zugriff auf Mitarbeiteranwendungen
  - Zugriff auf internes Händlerportal, VIN-Nummern nachschlagen und auf Verkaufsdokumente zugreifen
  - Zugriff auf alle Anwendungen hinter dem SSO, einschließlich der von Remote-Mitarbeitenden und Händlern genutzten
Ferrari
- Vollständige Zero-Interaction-Übernahme aller Ferrari-Benutzerkonten möglich
- Zugriff auf alle Ferrari-Benutzerkonten per IDOR
- Wegen fehlender Zugriffskontrolle konnten Angreifer „Backoffice“-Admin-Konten und Benutzerkonten von Mitarbeitenden erstellen, ändern und löschen
- Möglichkeit, HTTP Routes zu api.ferrari.com hinzuzufügen; alle bestehenden REST-Connectoren einsehbar
Außerdem betroffen: Spireon, Ford, Reviver, Porsche, Toyota, Jaguar, Land Rover und weitere

1 Kommentare

ifmkl 2023-01-09

Wow ... das Sicherheitsproblem bei Autos ist wirklich ernst ... echt.

Web-Hacker vs. Autoindustrie: Kritische Schwachstellen bei Ferrari, BMW, Rolls-Royce, Porsche und mehr

Verwandte Beiträge

1 Kommentare