آسیب پذیری های امنیتی جان Deere ممکن است منجر به اجرای کد از راه دور شود

سیستم های جان دییر دارای حفره های امنیتی هستند که محققان به تازگی با آن روبرو شده اند. آسیب پذیری های امنیتی جان Deere می تواند منجر به اجرای کد از راه دور ماشین ها شود.

چه کسی آسیب پذیری های امنیتی John Deere را کشف کرد؟

اشکالات امنیتی در سیستم های جان Deere اخیراً پیدا شده و توسط یک محقق معروف با نام مستعار نشان داده شده است. ] SickCodes . ریشه این استرالیا در استرالیا است و کنفرانس امنیتی Def Con مستقر در لاس وگاس را زمان بندی مناسبی برای نشان دادن اکتشافات خود در این زمینه از راه دور دانست.

SickCodes به تنهایی کار نمی کند. تیم تحلیلگرانی که او در آن عضو است ساکورا سامورایی نام دارد و فعالیت معمول آنها کشف و کشف اشکالات امنیتی است.

جان دیر چیست؟

جان دیر اساساً نام تبلیغاتی شرکت آمریکایی Deere & Company است. فعالیت آن شامل تولید ماشین آلات ساختمانی ، کشاورزی و جنگلداری است.

چگونه می توان آسیب پذیری های امنیتی جان دیر را توصیف کرد؟

آسیب پذیری های امنیتی جان دیر در حال حاضر وصله شده اند. موضوع اصلی کشف شده تهدید ناشی از فعال سازی دسترسی ریشه به صفحه مرکز عملیات جان دییر بود. چگونه می توان دسترسی ریشه را ممکن کرد؟

جان جکسون ، محقق از همان تیم SickCodes عضو و متخصص دیگری است ، به نام او ، رابرت ویلیس یک اشکال در پگا کشف کرد ، که اساساً ابزاری برای مدیریت فرایندهای تجاری است. این CVE-2021-27653 لقب گرفت. مسئله در مورد پگا عمدتا حقوق و دسترسی های مختلف آن است.

حفره امنیتی پگا به دسترسی از راه دور منجر شد. چگونه؟ از پورتال گروه دسترسی به چت Pega استفاده کنید. این موضوع در اعتبار سرپرست پیش فرض دروغ گفت که تغییر نکرده است. سپس ، درب برای دسترسی به سند مجوز Okta و گزارش حسابرسی امنیتی متعلق به پگا باز گذاشته شد.

این چیزی است که محققان با بهره برداری از این آسیب پذیری به آن دست یافتند. علاوه بر این ، آنها همچنین کلید خصوصی سرور SAML جان دیر را دریافت کردند.

این می تواند به ما اجازه دهد فایلها را برای هر کاربری بارگذاری کنیم ، به عنوان هر کاربری وارد سیستم شویم … هر چیزی را که می خواهیم بارگذاری کنیم ، هر چیزی را که می خواهیم بارگیری کنیم ، نابود کنیم هر گونه داده ، وارد هر حساب شخص ثالث شوید. (…) ما می توانیم به معنای واقعی کلمه هر کاری که می خواهیم در مرکز عملیات جان دیر انجام دهیم ، دوره.

منبع

منبع ویدئو

جان دیر در مورد آن چه گفت؟

طبق پست Security Ledger ، این شرکت در بیانیه ای نظر خود را در این مورد به اشتراک گذاشت و اعتبار تظاهرات محقق را رد کرد. آنها همچنین اهمیت حقایق ارائه شده را به حداقل رسانده اند.

هیچ یک از ادعاها – از جمله ادعاهای شناسایی شده در DEF CON – دسترسی به حسابهای مشتری ، داده های زراعی ، حسابهای فروشندگان یا اطلاعات شخصی حساس را فعال نکرده است. " علاوه بر این ، "بر خلاف ادعاهای مطرح شده در DEF CON ، هیچ یک از مسائلی که توسط محققان امنیتی مشخص شده است بر ماشین های مورد استفاده تأثیر نمی گذارد.

منبع

آسیب های امنیتی جان دیر چه چیزی می تواند باشد؟ منجر به عواقب جدی شد. در تحقیقات خود ، کارشناسان می توانستند از راه دور به تراکتورها دسترسی پیدا کنند. چگونه؟ با استفاده از قابلیت پشتیبانی Deere.

طبق bankinfosecurity.com ، کسانی که می خواهند فعالیت های مخرب را رهبری کنند ، می توانند ، به عنوان مثال ، خدمات منع سرویس (حملات DDoS) را به کار گیرند. با استفاده از یک کد مخرب ، آنها می توانند سیستم را تغییر دهند و تعداد مواد شیمیایی را که کشاورز استفاده می کند بدون اطلاع خود تغییر دهد ، بنابراین منجر به فاجعه های کشاورزی می شود. نمونه هایی از سوء استفاده از آسیب پذیری های امنیتی جان دیر را می توان گسترش داد. به عنوان مثال ، یک تراکتور مستقل می تواند به رودخانه بیفتد یا در بزرگراه آسیب برساند یا دیگری برای کاشت بذر در جایی که تصور نمی شود تعیین شود.

کتاب ماشین از چشم کارشناسان ، سیستم فرار نکرده است. این شرکت برای رزرو تجهیزات و تراکتور استفاده می کند. در صورت بهره برداری ، اشکالات موجود در این سیستم به هکرها اجازه می دهد تا سفارشات را حذف کرده یا تراکتور رزرو کنند. پایگاه داده همچنین می تواند از طریق حملات تزریق SQL مورد سوء استفاده قرار گیرد. نظارت بر داده های مربوط به فعالیت های کشاورز به طور مداوم از تراکتور به ابر منتقل می شود. هنگامی که این واقعیت که هیچ گونه آسیب پذیری در محصولات جان دیر شناسایی نشده بود ، مورد توجه Sick Code قرار گرفت ، آنها شروع به تجزیه و تحلیل آنها کردند تا ببینند آیا این واقعیت دارد. سپس تحقیقات آنها به حقایق فوق الذکر منجر شد. محققانی که متوجه این آسیب پذیری ها شده اند کمی با شرکت تماس گرفتند ، زیرا پاسخ آنها مدتی طول کشید ، بنابراین اطلاعات خود را به ICS CERT ارسال کردند. آنها [John Deere] تا به آنها بگویند مشکلی دارند. (…) من از طریق فدرال اکسپرس ، نسخه های گزارش CVE ما را به رئیس [John Deere’s] ، مدیر ارشد قانونی و CIO فعلی ارسال کردم. روز بعد از ورود ، آسیب پذیری ها برطرف شد.

منبع