Ynformaasje oer yn it organisearjen fan beskerming yn it Tesla-netwurk, wat it mooglik makke om de ynfrastruktuer folslein te kompromittearjen dy't ynteraksje mei konsuminteauto's. Benammen de identifisearre problemen makken it mooglik om tagong te krijen ta de tsjinner dy't ferantwurdlik is foar it behâld fan in kommunikaasjekanaal mei auto's en it ferstjoeren fan kommando's oerdroegen fia in mobile applikaasje.
As gefolch koe de oanfaller root tagong krije ta it ynformaasjesysteem fan elke auto fia de Tesla-ynfrastruktuer of op ôfstân kontrôlekommando's nei de auto oerbringe. Under oare de mooglikheid om kommando's te stjoeren lykas it starten fan de motor en it ûntsluten fan doarren nei de auto waard oantoand. Om tagong te krijen wie alles wat nedich wie kennis fan it VIN-nûmer fan de auto fan it slachtoffer.
De kwetsberens waard begjin 2017 identifisearre troch feiligensûndersiker Jason Hughes
(), dy't Tesla fuortendaliks ynformearre oer de problemen en de ynformaasje iepenbier makke dy't hy allinich trije en in heal jier nei it ynsidint ûntduts. It wurdt opmurken dat Tesla yn 2017 de problemen binnen oeren nei ûntfangst fan in notifikaasje fan 'e kwetsberens reparearre, wêrnei't it de beskerming fan har ynfrastruktuer radikaal fersterke. Foar it identifisearjen fan de kwetsberens krige de ûndersiker in beleanning fan 50 tûzen Amerikaanske dollars.
De analyze fan problemen mei de Tesla-ynfrastruktuer begon mei de dekompilaasje fan 'e ark oanbean foar downloaden fan' e webside . Brûkers fan Tesla-auto's mei in akkount op 'e webside service.teslamotors.com krigen de kâns om alle modules foar ûntwikkelders te downloaden. De modules waarden fersifere op 'e ienfâldichste manier, en de fersiferingskaaien waarden jûn troch deselde tsjinner.
Nei it dekompilearjen fan de resultearjende modules yn koade yn Python, ûntduts de ûndersiker dat de koade ynbêde bewiisbrieven befette foar ferskate Tesla-tsjinsten lizzend op it ynterne netwurk fan it bedriuw, dat tagong waard fia VPN. Benammen yn 'e koade kinne wy de brûkersbewiis fine fan ien fan' e hosts yn it subdomein "dev.teslamotors.com" op it ynterne netwurk.
До 2019 года для подключения автомобилей к сервисам Tesla применялся VPN на базе пакета OpenVPN (впоследствии был заменён на реализацию на основе websocket) с использованием генерируемого для каждого автомобиля ключа. VPN использовался для обеспечения работы мобильного приложения, получения списка станций зарядки аккумуляторов и в других подобных сервисах. Исследователь попытался просканировать сеть, доступную после подключения своего автомобиля по VPN и обнаружил, что доступная клиентам подсеть на должном уровне не изолирована от внутренней сети Tesla. В том числе оказался достижим хост в поддомене dev.teslamotors.com, к которому были найдены учётные данные.
De kompromittearre tsjinner blykte in klusterbehearknooppunt te wêzen en wie ferantwurdlik foar it leverjen fan applikaasjes nei oare tsjinners. By it oanmelden by de opjûne host, koenen wy in diel fan 'e boarnekoade krije foar ynterne Tesla-tsjinsten, ynklusyf mothership.vn en firmware.vn, dy't ferantwurdlik binne foar it ferstjoeren fan kommando's nei klantauto's en it leverjen fan firmware. Wachtwurden en logins foar tagong ta de PostgreSQL en MySQL DBMS waarden ek fûn op de tsjinner. Oan 'e wei die bliken dat tagong ta de measte komponinten kin wurde krigen sûnder de bewiisbrieven fûn yn' e modules; it die bliken dat it genôch wie om in HTTP-fersyk nei de Web API te stjoeren fan it subnet tagonklik foar kliïnten.
Op de tsjinner waard ûnder oare in module fûn, wêrfan't in bestân wie good.dev-test.carkeys.tar mei VPN-kaaien dy't brûkt waarden tidens it ûntwikkelingsproses. De opjûne kaaien die bliken te wurkjen en lieten ús ferbine mei de ynterne VPN fan it bedriuw vpn.dev.teslamotors.com.
Op 'e tsjinner waard ek de koade fan' e memmeskiptsjinst fûn, wêrfan de stúdzje it mooglik makke om ferbiningspunten te bepalen foar in protte beheartsjinsten. It waard fûn dat de measte fan dizze beheartsjinsten beskikber binne op elke auto, as ferbûn mei de fûn VPN-kaaien foar ûntwikkelders. Troch manipulaasje fan 'e tsjinsten wie it mooglik om tagongskaaien út te heljen dy't deistich bywurke binne foar elke auto, lykas kopyen fan' e bewiisbrieven fan elke klant.
De opjûne ynformaasje makke it mooglik om it IP-adres te bepalen fan elke auto wêrmei't in ferbining waard makke fia VPN. Sûnt it subnet vpn.dev.teslamotors.com net goed skieden waard troch de firewall, wie it troch ienfâldige routingmanipulaasjes mooglik om de IP fan 'e kliïnt te berikken en te ferbinen mei syn auto fia SSH mei rootrjochten, mei help fan' e earder krigen bewiisbrieven fan 'e kliïnt.
Derneist makken de krigen parameters foar de VPN-ferbining mei it ynterne netwurk it mooglik om oanfragen nei alle auto's te stjoeren fia de Web API mothership.vn.teslamotors.com, dy't waarden akseptearre sûnder ekstra autentikaasje. Bygelyks, tidens tests wie it mooglik om te demonstrearjen de bepaling fan 'e hjoeddeistige lokaasje fan' e auto, ûntsluten de doarren en start de motor. It VIN-nûmer fan it auto wurdt brûkt as identifier om in oanfalsdoel te selektearjen.
Boarne: opennet.ru
