John Deere网站的缺陷为客户提供地图,为客户提供了地图

2021-04-23 10:09:36

用于农业设备制造商的客户的网站John Deere含有漏洞,可以允许远程攻击者收取公司客户的敏感信息,包括他们拥有的Deere设备上的名称,物理地址和信息。

研究员称为“病假代码”(@Sickcodes)在周四发布了两份关于MyJohndeere.com网站和John Deere Operations Center网站和移动应用程序的缺陷的漏洞。在与安全分类帐的对话中,研究人员表示,他能够从农场设备拍卖网站中使用VINS(车辆识别号码)来识别所有者的名称和物理地址。此外,MyJohndeere.com网站的缺陷可能允许未经身份验证的用户对网站进行自动攻击,可能会揭示该站点的所有用户帐户。

生病规范向John Deere以及美国政府的网络安全和基础设施安全局(CISA)披露,该机构将粮食和农业视为关键基础设施部门。出版物,在Operation Center中发现的缺陷已经解决,而MyJohndeere.com缺陷的状态未知。

通过安全分类帐联系,John Deere在发布之前没有提供关于公告的评论。

研究人员的病假代码表示,他创建了一个免费的开发人员帐户,并找到了第一个MyJohndeere.com漏洞,然后才能登录公司的网站。他披露的两个缺陷仅占公司网站和运营中心的一小时或两小时。他感到自信,更多有才能找到,包括影响在Deere设备的出租车内部部署的硬件和软件的漏洞。

“您可以从Web下载并将其上传到字段中的拖拉机。如果可以利用,这是一个潜在的攻击矢量。“

从John Deere网站获得的信息,包括客户名称和地址,可以将AFOUS的数据安全法律(如加利福尼亚州的CCPA)或Deere的伊利诺伊州的家庭州的个人信息保护法案。但是,该公司泄漏网站的国家安全后果可能远远大。关于哪些型号和其他设备正在使用的详细信息在农场对攻击者的价值非常高,包括对在关键时刻中扰乱美国农业生产的国家,例如在种植或收获期间。

美国农业的综合性质意味着在美国中西部少量大规模农业业务使用的特定互联网连接机械的攻击者可以推出对可能破坏整个美国食品供应的设备的目标攻击链。

尽管营运了数百万条软件来运行其复杂的农业机械,但Deere尚未作为与政府CVE数据库的单一漏洞一起登记,这是追踪软件缺陷的。

Darpa,Darpa,Dealt Advance Research项目局和麦迪逊大学的研究员,莫尔·杰恩(Derpa)的计划经理Molly Jahn表示,农业易于这种中断。

“与许多行业不同,在John Deere的实施方式中有极端的季节性,”Jahn告诉安全分类帐。 “我们很容易想象与可能是毁灭性的种植或收获的定时干扰。在一年中或在自然灾害期间 - 复合事件时,它不必持续很长时间。“攻击旨在经济破坏,通过在中西部的收获时间结合进行,这将是“根据细节毁灭和不可恢复”,“Jahn说。

然而,农业部门和公司提供的公司,如Deere,落后于网络安全准备和恢复力的其他行业。国土安全部发布的2019年报告得出结论,“在作物和畜牧业领域采用先进的精密农业技术和农产信息管理系统正在将新的脆弱性引入以前在自然界高度机械的行业中。”

“大多数信息管理/网络威胁面临精密农业的嵌入式和数字工具的嵌入式和数字工具都与所有其他连接行业的威胁向量一致。恶意演员也是如此:数据盗窃,窃取资源,声誉损失,设备破坏,或在竞争对手上获得不当的金融优势,“报告阅读。

该报告准备的研究小组访问了大型农场和精密农业技术制造商“整个美国。”该报告总结出“对精密农业的潜在威胁往往没有完全理解或未完全被完全理解或未受到前线农业生产商的严重治疗的威胁”。

Jahn表示,美国农业部门强调效率和节省成本对弹性。 过去15年来精确农业的出现推动了生产力的巨大增加,而且引入了尚未核算的新风险。 “我们没有考虑保护数据免受任何类型的不受欢迎的干扰,”她说。 “包括工业间谍活动,破坏或全面攻击......我一直在对美国粮食和农业系统的存在性威胁的简短列表中保持网络风险。”