Een groep van security onderzoekers hebben een ernstige tekortkoming in automatische carwash systemen die zijn aangesloten op het internet ontdekt. De kwetsbaarheid zou kunnen worden benut door op afstand kapen de carwash en direct gevaar vormen voor de gezondheid en het welzijn van de inzittenden van het voertuig door middel van diverse entrapment, schade aan het voertuig of zelfs fysiek aanval individuen.
In een steeds veranderende technologische wereld, moderne wasstraten zijn geworden wat we gewend zijn te denken van als “slimme” - volledig geautomatiseerd en op afstand bediend. Zo veel als de Internet-of-Things en interconnectiviteit kan een wonderlijk ding, slimme regelsystemen verbonden met het internet zijn echter nog vatbaar voor een externe inbraak en derhalve worden benut.
Door beveiligingslekken in Drive-Through wasstraten Verbonden met het Internet
De CEO van Whitescope Veiligheid, Billy Rios en QED Secure Solutions oprichter Jonathan Butts waren in staat om kwetsbaarheden in drive-through wasstraten aangesloten op het internet te vinden. De PDQ LaserWash wasstraten zijn zeer populair en toegankelijk rond de VS, vooral omdat zij geen personeel nodig is om te werken. De carwash zelf is volledig geautomatiseerd en in tegenstelling tot de meeste conventionele wasstraten, het maakt niet borstels noch enig fysiek contact met het voertuig staan vermeld. Een mechanische arm werkt moeiteloos rond het voertuig sproeiwater en was. De ingebouwde touchscreen-interface van de carwash zorgt voor de klant om te communiceren met en kies hun voorkeur reinigingsoptie zonder enige interactie met het personeel. Anderzijds, de baai deuren bij de ingang en de uitgang kan worden geprogrammeerd om te openen en te sluiten aan het begin en eind van elke dag.
Adreslijstverificatie Binnen Ingebouwde Web Server
Wat zou komen als een verrassing is dat het besturingssysteem van de PDQ LaserWash - waarop de tests in eerste instantie werden uitgevoerd, maakt gebruik van een embedded WindowsCE besturingssysteem die niet langer wordt ondersteund door Microsoft. Verouderde en niet-ondersteunde besturingssystemen zijn vaak begunstigd door hackers te maken met het probleem van de kaping en exploitatie. De belangrijkste fout die de onderzoekers hebben ontdekt is een authenticatie bypass binnen de ingebouwde webserver. Dit op zijn beurt maakt het mogelijk toegang tot de control panel. PDQ systemen vereisen een gebruikersnaam en wachtwoord om toegang te krijgen echter online, De onderzoekers beweren dat de standaard wachtwoord kan gemakkelijk worden geraden (1234 want het is in veel gevallen). Verreweg, niet alle wasstraten werken op volautomatische basis, de ... gebruiken Shodan zoekmachine de onderzoekers waren in staat om over te vinden 150 wasstraten online, kwetsbaar blootgesteld aan kapingen.
Het punt van beveiliging bevindt zich in de kern van het probleem, die van de carwash een rechtstreekse verbinding met het internet. De webgebaseerde interface staat garant voor weinig beveiliging, ongeacht de mogelijkheid voor de ondernemer om de carwash op afstand te bedienen. Als de hijack succesvol, een hacker bovengenoemde kwetsbaarheid op verschillende manieren, waaronder benutten:
- De mogelijkheid om een ogenblikkelijke commando te sturen door het schrijven van een volledig geautomatiseerde aanval script dat authenticatie rondwegen om ofwel één of beide baaien van de carwash te sluiten, aldus val het voertuig binnen.
- Herhaaldelijk openen en sluiten een van de baaien als de bestuurder probeert te vertrekken, toebrengen meerdere slagen van het voertuig en schade in het proces.
- Mogelijkheid verwonden of beschadigen de respectieve inzittenden zowel binnen als buiten het voertuig.
- Gemakkelijk manipuleren van de mechanische arm continu spugen water of aan het voertuig raken, vandaar waardoor het steeds moeilijker voor de inzittenden van het voertuig te verlaten.
In de tussentijd, ICS-CERT heeft uitgebracht adviserende waarschuwing betreffende geautomatiseerde autowasserette systemen zoals LaserWash, LaserJet en ProTouch - allemaal vervaardigd door PDQ, waarin staat dat alle drie de systemen zijn gevoelig voor externe inbraken, die een “laag niveau te exploiteren”. Verdere betrokken systemen, zowel binnen als buiten de VS, te:
- Alle versies van ProTouch Icon, ProTouch AutoGlass en ProTouch Tandem.
- Alle versies van LaserWash AutoXpress en AutoXpress Plus.
- Alle versies van LaserWash 360 en LaserWash 360 Meer.
- Alle versies van LaserWash M5.
- Alle versies van LaserWash G5 en LaserWash G5 S-serie.
- Alle versies van LaserJet.
Het is onduidelijk wat het tijdschema voor de verwachte correctie zal zijn, noch de duur van de lengte van het zal zijn in de ontwikkeling van. Tot die tijd, carwash eigenaren zouden moeten blijven patiënt, met ICS-CERT heeft een lijst van aanbevelingen PDQ voor carwash eigenaren bedacht om hen te helpen verminderen en beperken de kans op reeds getroffen carwash systemen samengesteld gekaapt en uitgebuit.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: