官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
高科技进入农业,提高生产力的同时也带来了网络风险。
拖拉机制造商约翰迪尔(John Deere)公司的系统中被曝含有安全漏洞,攻击者可以借此破坏农作物、损害财产安全、影响收成甚至破坏农田。
8月8日,一名昵称为Sick Codes的澳大利亚研究人员在拉斯维加斯的Def Con安全会议上远程展示了他的最新发现。攻击者可以利用这些漏洞获得约翰迪尔公司的运营中心的root权限,该运营中心是一个用于监控和管理农用设备的综合平台。
与他同一研究小组的John Jackson和另一个研究者Robert Willis在一个名为Pega的业务流程管理工具中发现了一个漏洞。Pega工具广受欢迎并且拥有广泛的权限,不仅可以远程监控,而且对其他系统拥有管理权限。
Pega的该漏洞与未改变的默认管理凭证有关,允许远程访问Pega的聊天访问组门户。这个漏洞允许攻击者访问众多资源,包括Pega的安全审计日志,甚至是Okta的签名证书。研究人员还能够导出约翰迪尔公司的单点登录SAML服务器的私钥。
Sick Codes表示该漏洞几乎可以让我们向任何用户上传文件、以任何用户身份登录、上传任何我们想要的东西、下载任何我们想要的东西、破坏任何数据、登录任何第三方账户,也就是说攻击者可以在约翰迪尔的运营中心为所欲为。
然而,约翰迪尔公司在提供给《安全导报》的一份声明中表示,Sick Codes声称能够进入客户账户、农艺数据、经销商账户或敏感的个人信息的主张都是不存在的,并且Sick Codes提出的问题都不会影响正在使用的机器。
拖拉机中都含有哪些数据?
数据一直对农业至关重要,在全球数字化转型潮流中,农业现在正以前所未有的规模为了智能农业或精准农业收集数据。越来越多的农场通过 Wi-Fi、5G、无线电传感器等监控农场的每一项操作并收集其数据以进行分析。约翰迪尔的拖拉机也具有数据收集的功能。
约翰迪尔的拖拉机与我们印象中的传统拖拉机有些许不同,就像现代汽车一样,它运行复杂的嵌入式专用软件,可以连接到互联网,并且具有 GPS以及自主功能,甚至可以由约翰迪尔客户服务代表远程控制,以帮助客户解决问题。
约翰迪尔的拖拉机不断将数据传输到云端,包括:农民何时坐在驾驶室中的信息、土壤中的水分含量以及收成大小的指标等。
此外,根据约翰迪尔的说法,目前正在销售的拖拉机与一个名为HarvestLab的湿度传感器监测器和一个名为Harvest Monitor的整体监测软件系统相连接,该系统在显示器上显示实时生产力测量。
还有HarvestDoc软件,它可以读取作物数据,如产量和GPS位置,随后可以发送到Apex农场管理软件中进行分析。同时,还有一个叫做AutoLOC的功能,它可以读取HarvestLab的水分读数,并对拖拉机切割作物的时间进行调整,以达到最佳效果。
显然,这种无缝的、持续的数据收集和分析对农民来说十分便捷,但是在一个单一的平台上保存世界上所有现代农场的数据,一旦其被攻破,所带来的大范围数据泄露危害性可想而知。
参考
https://www.inforisktoday.com/flaws-in-john-deere-systems-show-agricultures-cyber-risk-a-17240
https://threatpost.com/connected-farms-food-supply-chain-hack/168547/