Взломать Tesla: как эксперт по ИБ получил доступ к самому безопасному автомобилю мира
Исследователь безопасности Джейсон Хьюз (Jason Hughes) наконец обнародовал подробности о нашумевшем в 2017 году наборе уязвимостей инфраструктуры Tesla, который позволил ему получить возможность удаленного управления любым автомобилем из парка производителя. Так как компания значительно усилила свои рубежи ИБ и исправила показанные экспертом недоработки в архитектуре защиты, Джейсон посчитал нужным и важным опубликовать подробности той атаки для понимания другими компаниями возможных рисков в своей среде разработки.
Как происходила атака
-
API ресурса Tesla Toolbox (toolbox.teslamotors.com) позволило выгрузить все модули разработки, а также ключи для расшифровки исходников. Шифрование использовалось слабое, и, таким образом, эксперт смог получить исходники на Python.
-
В исходниках были захардкожены учетки для некоторых внутренних сервисов Tesla, которые требуют рабочего VPN для доступа. В том числе учетные данные для сервера dev.teslamotors.com.
-
У эксперта были VPN-ключи доступа к одной из машин Tesla (аварийной). После подключения, сканирования пула внутренних IP-адресов, которое, кстати, не было ни заблокировано, ни задетектировано, обнаружилось несколько явно внутренних ресурсов. То есть VPN-ресурсы не были корректно сегментированы.
-
Также эксперт нашел сервер dev.teslamotors.com и, подключивщись к нему с найденными ранее учетными данными, получил доступ ко многим исходникам серверной части ресурсов Tesla. Среди этих данных эксперт нашел захардкоженные рабочие учетные записи к серверу vpn.dev.teslamotors.com!
-
Кроме того, исследователь нашел сервер Mothership, с которым связываются все машины Tesla. В комбинации с полученными учетными записями, добавленными статическими маршрутами на подходящие шлюзы и информацией с этого сервера ему удалось получить доступ к фактически любой машине Tesla с правами суперпользователя (suduer). Далее он мог выполнить любое действие: закрытие/открытие дверей, запуск/остановка мотора, начало/остановка неконтролируемой езды и т.п.
Комментируют эксперты Anagara Professional Assistance
Если реализация подключения от машины к серверной стороне была выполнена более-менее защищено (аутентификация с одноразовыми ключами доступа, шифрование и т.д.), то в ядре инфраструктуры присутствовала масса недоработок: отсутствие адекватной сегментации VPN-сегмента, отсутствие проверки исходного кода и недостаточная его защита, слабое шифрование, отсутствие защиты API. Захардкоженные учетные записи и пароли – это грубая ошибка информационной безопасности. Кроме того, ни один из шагов эксперта не был обнаружен командой ИБ Tesla. А данные на ресурсах dev.teslamotors.com он изучал семь дней. То есть были регулярные подключения и доступы к сугубо конфиденциальным ресурсам, внесение системных изменений и другие действия, которые остались не замеченными. Компания выстроила достаточный внешний периметр, но не учла возможности проникновения за него. Внутренняя инфраструктура была абсолютно не готова ко взлому ни с точки зрения защиты, ни мониторинга.
Каких средств защиты не хватило:
-
Средств внутренней сегментации. Angara Professional Assistance рекомендует NGFW шлюзы следующих производителей:
-
Palo Alto,
-
Check Point,
-
Cisco,
-
Huawei,
-
Forcepoint Stonegate,
-
UserGate.
-
Средств контроля доступа в среду виртуализации и контейнеризации:
-
vGate.
-
Средств анализа кода:
-
PT Application Inspector,
-
InfoWatch Attack Killer,
-
Fortify Static Code Analyzer,
-
HCL AppScan (ex IBM).
-
Средств мониторинга и анализа сети и поиска теневого ИТ:
-
SkyBox Security Suite,
-
Tufin Orchestration Suite,
-
Algosec Security Management,
-
Huawei eSight,
-
SolarWinds Orion,
-
Cisco Prime.
-
Систем мониторинга событий:
-
MicroFocus,
-
IBM,
-
RSA,
-
Positive Technologies,
-
НПО-Эшелон,
-
Сервис ACRC SOC.
Это не конечный список средств защиты, скорее наоборот, необходимый минимум в компании, где серьезно относятся к ИБ. Сейчас Tesla значительно усилила инфраструктуру информационной безопасности, надеемся, что она внесет в свою культуру регулярные контролируемые тестирования на проникновение и не допустит подобных ошибок в будущем.