Le propriétaire de Mercedes-Benz, Daimler, a laissé le 580 repos ouvert sur Internet – nus et non protégés. Un chercheur suisse a découvert le trésor avec un simple dork – un terme de recherche Google conçu.
Le code contrôle les unités logiques embarquées (OLU) dans les fourgons de l’entreprise. Il comprend également des mots de passe et des jetons d’API pour les services cloud Daimler.
Visages rouges à Stuttgart, und so weiter. Dans le blog de sécurité de cette semaine, nous apprenons des erreurs des autres.
Votre humble blogueur a organisé ces morceaux de bloggy pour votre divertissement. Sans oublier: Janet a un plan.
[ The shift is on to secure code. Get up to speed with TechBeacon’s State of App Sec Guide. Plus: Get the Gartner 2020 Magic Quadrant for Application Security Testing ]
OLU OSINT OOPS
Quel est le craic? Rapports Catalin Cimpanu – Fuites de code source OLU en ligne:
Le code source des… composants installés dans les fourgons Mercedez-Benz a été divulgué en ligne. … Daimler a autorisé quiconque à s’inscrire sur l’un de ses… serveurs.
…
Till Kottmann, un ingénieur logiciel basé en Suisse, a découvert un… portail Web appartenant à Daimler AG, l’entreprise automobile allemande derrière la marque automobile Mercedes-Benz. … Il a pu créer un compte sur le portail d’hébergement de code de Daimler, puis télécharger plus de 580 référentiels Git contenant le code source de… OLU installés dans les fourgons Mercedez.
…
La fuite [includes] mots de passe et jetons d’API pour les systèmes internes de Daimler. … Entre de mauvaises mains, [they] pourrait être utilisé pour planifier et monter de futures intrusions dans le cloud et le réseau interne de Daimler.
…
Kottmann… a trouvé le serveur GitLab de Daimler en utilisant quelque chose d’aussi simple que… les requêtes de recherche Google. … « Je cherche souvent des exemples intéressants de GitLab … et je suis toujours étonné de voir à quel point peu de réflexion semble entrer dans les paramètres de sécurité. »
…
Un porte-parole de Daimler n’a pas renvoyé de demande officielle de commentaires.
OLU? Jay Jay explique: Daimler AG a laissé le code source OLU des camionnettes Mercedes accessible à tous:
Les unités logiques intégrées ou OLU sont l’unité de contrôle des fourgonnettes Mercedes, les connectant au cloud et permettant aux développeurs tiers de créer des applications qui récupèrent les données du véhicule comme l’état interne de la fourgonnette ou pour geler les fourgonnettes en cas de vol.
Ohhh, « le nuage », hein? Le bowman de Malays2 nie être un cammo portant un kook:
Faire. Ne pas. Vouloir. Je vois une industrie artisanale plutôt rentable qui consiste à supprimer / contourner ce ****.
Les gens rient chaque fois que quelqu’un mentionne « Nouvel Ordre Mondial », et ils risquent d’être étiquetés comme un cammo portant un kook qui aime jouer GI-Joe dans les bois avec un AK-47 rouillé. [But] il n’y a rien de surnaturel ou d’irréel à ce sujet. C’est encore une autre prise de pouvoir classique, mais cette fois a pris quelques crans.
Uhhh, d’accord. Chris de Ramus conduit l’histoire à la maison, co-piloté par Duncan Riley – Le code source de Mercedes-Benz exposé via un système d’enregistrement Git mal configuré:
Dans cette instance de GitLab, les mauvais acteurs pourraient créer un compte sur le portail d’hébergement de code de Daimler et télécharger plus de 580 référentiels Git contenant le code source de Mercedes et vendre ces informations aux concurrents de la société. … De plus, les pirates pourraient exploiter les mots de passe et les jetons d’API exposés des systèmes de Daimler pour accéder et voler encore plus d’informations sensibles de l’entreprise.
…
Sans une approche proactive de la sécurité, les entreprises s’exposent à des risques indus. La plupart des organisations s’appuient sur la détection des risques et des erreurs de configuration dans le cloud au moment de l’exécution… au lieu de les empêcher lors du processus de génération, ce qui augmente considérablement les risques de sécurité et de conformité. Cela interfère également avec la productivité, car les développeurs doivent consacrer leur temps à résoudre les problèmes.
…
Les organisations doivent «changer de direction» en prenant des mesures préventives dès le début de leurs… pipelines CI / CD. … Une telle approche proactive permettra aux organisations d’empêcher les problèmes de sécurité de se produire et permettra aux équipes de sécurité de détecter les erreurs de configuration avant que des fuites ne se produisent.
Quelles sont donc ces requêtes de recherche? Chris Ueland et Courtney Couch ne sont pas des imbéciles — Exploration des techniques de piratage de Google:
Un Google Dork… est une ressource précieuse pour les chercheurs en sécurité. Pour la personne moyenne, Google n’est qu’un moteur de recherche. … Cependant, dans le monde infosec, Google est un outil de piratage utile.
…
Comme il possède d’énormes capacités d’exploration du Web, [Google] peut indexer presque n’importe quoi sur votre site Web, y compris des informations sensibles. Cela signifie que vous pourriez exposer trop d’informations sur vos technologies Web, vos noms d’utilisateur, vos mots de passe et vos vulnérabilités générales sans même le savoir.
…
Le moteur de recherche de Google possède son propre langage de requête intégré. … Des requêtes peuvent être exécutées pour trouver une liste de fichiers, trouver des informations sur vos concurrents, suivre les gens, obtenir des informations sur les backlinks SEO, créer des listes de messagerie et, bien sûr, découvrir les vulnérabilités du Web.
…
Pour empêcher l’indexation de vos informations sensibles par les moteurs de recherche: Protégez les zones privées avec… l’authentification et… les restrictions basées sur IP. Chiffrez vos informations sensibles. … Exécutez des requêtes Dork régulières sur votre propre site Web. … Si vous trouvez du contenu sensible exposé, demandez sa suppression à l’aide de Google Search Console. Bloquez le contenu sensible à l’aide d’un fichier robots.txt.
Et que dit le coupable pour lui-même? @deletescape:
La fuite est d’environ 550 repos et très bien documentée. … C’est une plate-forme matérielle pour un cas d’utilisation très spécifique, mais cette fuite devrait permettre de la recréer avec du matériel à faible coût.
…
Je le fais uniquement par curiosité. … C’est tellement intéressant de regarder ce que les gens n’ont jamais pensé que quelqu’un verrait et de comprendre comment cela fonctionne.
…
La plupart des choses que je poste sont des référentiels publics sur les instances gitlab (grands modèles de menace hein), ou tout simplement le même type d’instances où je peux simplement m’inscrire moi-même. Au moins en vertu du droit suisse, il s’agit en quelque sorte d’une zone grise, mais je sais évidemment que je marche ici sur une ligne très mince.
…
J’adore aider les entreprises à ouvrir leur code source. …;)
cependant, vtcodger lève l’autre main:
OTOH, vous allez probablement être ennuyé quand un adolescent ennuyé en Mongolie réussit à vous enfermer, ainsi que tous les autres propriétaires de votre modèle de véhicule, hors de vos voitures – au moins jusqu’à ce que le concessionnaire le plus proche puisse sortir avec un outil spécialisé et débrider la chose . Peut-être un peu d’une file d’attente de service impliquée.
La connectivité n’est pas sans risques. Il y a probablement un équilibre optimal entre la connexion et l’autonomie locale. Mais je ne vois pas beaucoup de signes que les constructeurs automobiles, et en particulier les constructeurs de véhicules de luxe, recherchent cet équilibre.
Et @SchizoDuckie critique jalousement Kottmann:
Quel *******. J’espère qu’il sera poursuivi dans l’oubli.
…
Dump it all online on various sources ‘for the lulz’ est un coup de bite.
Pendant ce temps, L’offre de Ken_g6 est un mème plus ancien, monsieur; mais il vérifie:
Donc, ce qu’ils disent, c’est que… la base OLU nous appartient?
La morale de l’histoire?
Les exercices de l’équipe rouge DevSecOps doivent inclure OSINT à partir du dorking, etc.
[ Find out how to scale your application security program in this May 12 Webinar. Plus: Learn how to build application security into your software with TechBeacon’s guide ]
et enfin
N’essayez pas ça à la maison, les enfants
Précédemment dans «Et enfin»
Vous avez lu Security Blogwatch de Richi Jennings. Richi organise les meilleurs articles de bloggy, les meilleurs forums et les sites Web les plus étranges… donc vous n’avez pas à le faire. Le courrier haineux peut être envoyé à @RiCHi ou [email protected]. Demandez à votre médecin avant de lire. Votre kilométrage peut varier. E&OE.
Sauce image: Dronsfields Mercedes (cc: by)
[ Take a deep-dive with our Application Security Trends and Tools Guide. Plus: Get TechBeacon’s App Sec Buyer’s Guide. ]