除了天灾,农业还需警惕拖拉机
2021-08-11 19:03:56 Author: www.freebuf.com(查看原文) 阅读量:19 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

高科技进入农业,提高生产力的同时也带来了网络风险。

拖拉机制造商约翰迪尔(John Deere)公司的系统中被曝含有安全漏洞,攻击者可以借此破坏农作物、损害财产安全、影响收成甚至破坏农田。

1628674369_61139941d6bc1edccef4e.png!small

8月8日,一名昵称为Sick Codes的澳大利亚研究人员在拉斯维加斯的Def Con安全会议上远程展示了他的最新发现。攻击者可以利用这些漏洞获得约翰迪尔公司的运营中心的root权限,该运营中心是一个用于监控和管理农用设备的综合平台。

与他同一研究小组的John Jackson和另一个研究者Robert Willis在一个名为Pega的业务流程管理工具中发现了一个漏洞。Pega工具广受欢迎并且拥有广泛的权限,不仅可以远程监控,而且对其他系统拥有管理权限。

Pega的该漏洞与未改变的默认管理凭证有关,允许远程访问Pega的聊天访问组门户。这个漏洞允许攻击者访问众多资源,包括Pega的安全审计日志,甚至是Okta的签名证书。研究人员还能够导出约翰迪尔公司的单点登录SAML服务器的私钥

Sick Codes表示该漏洞几乎可以让我们向任何用户上传文件、以任何用户身份登录、上传任何我们想要的东西、下载任何我们想要的东西、破坏任何数据、登录任何第三方账户,也就是说攻击者可以在约翰迪尔的运营中心为所欲为。

然而,约翰迪尔公司在提供给《安全导报》的一份声明中表示,Sick Codes声称能够进入客户账户、农艺数据、经销商账户或敏感的个人信息的主张都是不存在的,并且Sick Codes提出的问题都不会影响正在使用的机器。

拖拉机中都含有哪些数据?

数据一直对农业至关重要,在全球数字化转型潮流中,农业现在正以前所未有的规模为了智能农业或精准农业收集数据。越来越多的农场通过 Wi-Fi、5G、无线电传感器等监控农场的每一项操作并收集其数据以进行分析。约翰迪尔的拖拉机也具有数据收集的功能。

约翰迪尔的拖拉机与我们印象中的传统拖拉机有些许不同,就像现代汽车一样,它运行复杂的嵌入式专用软件,可以连接到互联网,并且具有 GPS以及自主功能,甚至可以由约翰迪尔客户服务代表远程控制,以帮助客户解决问题。

约翰迪尔的拖拉机不断将数据传输到云端,包括:农民何时坐在驾驶室中的信息、土壤中的水分含量以及收成大小的指标等。

此外,根据约翰迪尔的说法,目前正在销售的拖拉机与一个名为HarvestLab的湿度传感器监测器和一个名为Harvest Monitor的整体监测软件系统相连接,该系统在显示器上显示实时生产力测量。

还有HarvestDoc软件,它可以读取作物数据,如产量和GPS位置,随后可以发送到Apex农场管理软件中进行分析。同时,还有一个叫做AutoLOC的功能,它可以读取HarvestLab的水分读数,并对拖拉机切割作物的时间进行调整,以达到最佳效果。

显然,这种无缝的、持续的数据收集和分析对农民来说十分便捷,但是在一个单一的平台上保存世界上所有现代农场的数据,一旦其被攻破,所带来的大范围数据泄露危害性可想而知。

参考

https://www.inforisktoday.com/flaws-in-john-deere-systems-show-agricultures-cyber-risk-a-17240

https://threatpost.com/connected-farms-food-supply-chain-hack/168547/


文章来源: https://www.freebuf.com/news/284313.html
如有侵权请联系:admin#unsafe.sh