约翰迪尔系统中的缺陷显示了农业的网络风险

(jeremy_kirk) • 2021 年 8 月 9 日拖拉机制造商约翰迪尔的系统中发现了许多漏洞，这凸显了高科技农业带来的生产力提高带来的网络风险。一位昵称为 Sick Codes 的澳大利亚研究人员在拉斯维加斯举行的 Def Con 安全会议上远程展示了他的最新发现。他是一个名为 Sakura Samurai 的独立安全研究小组的成员，该小组负责寻找并披露安全漏洞。 Sick Codes 和研究小组在位于伊利诺伊州莫林的约翰迪尔的系统中发现了几个漏洞，这些漏洞现已得到修复。周日，他在博客上发布了这些问题的详细信息。调查结果很严重。一系列问题使得能够访问约翰迪尔运营中心，这是一个用于监控和管理农场设备的综合平台。有两个问题导致了 root 访问。首先，Sakura Samurai 的 John Jackson 和另一位研究员 Robert Willis 在名为 Pega 的业务流程管理工具中发现了一个漏洞。 Sick Codes 说 Pega 很受企业欢迎。但他说，它通常拥有过多的权限，并且拥有对其他系统的管理访问权限，这与 SolarWinds 的 Orion 等远程监控和管理工具没有什么不同。 Pega 漏洞与未更改的默认管理员凭据有关，允许远程访问 Pega 的聊天访问组门户。该漏洞打开了对许多其他资源的访问，包括 Pega 的安全审计日志，甚至是 Okta 签名证书。研究人员还能够导出约翰迪尔单点登录 SAML 服务器的私钥。这些问题结合在一起非常糟糕，以至于 Sick Codes 和他的团队停止进一步探索 Deere 的系统。

“这几乎可以让我们向任何用户上传文件，以任何用户身份登录……上传我们想要的任何内容，下载我们想要的任何内容，销毁任何数据，登录任何第三方帐户，”Sick Codes 在他的演讲中说. “在约翰迪尔运营中心，我们可以随心所欲地做任何我们想做的事情。”联系约翰迪尔的努力并没有立即成功。但在提供给 The Security Ledger 的一份声明中，该公司广泛否认了 Sick Codes 所证明的调查结果，并淡化了索赔的严重性。该公司表示：“所有索赔——包括在 Def Con 上确定的那些——都无法访问客户帐户、农艺数据、经销商帐户或敏感的个人信息。”约翰迪尔继续说，“与 Def 提出的索赔相反。 Con，安全研究人员发现的任何问题都不会影响正在使用的机器，”根据安全分类帐。 Def Con 演示文稿在接受之前由安全专家审查。公司和安全研究人员对缺陷的潜在影响存在分歧也是很常见的。 Sick Codes 告诉信息安全媒体集团，John Deere 应该“诚实”并将情况转变为积极的情况。 “自己承担，”他说。约翰迪尔的拖拉机可能看起来与 40 年前的拖拉机没有太大的不同，但有一个很大的不同：一切都是计算机化的。与现代车辆类似，农用设备运行高度复杂的嵌入式专有软件，可连接到互联网。约翰迪尔的设备不断将数据传输到云端，例如有关农民何时坐在驾驶室中的信息、土壤中的水分含量以及收成大小的指标。数据一直对农业至关重要，但现在正在以前所未有的规模收集智能农业或精准农业。这使农民能够降低成本——例如，通过使用更少的农药——并提高产量。但在 2016 年 3 月，联邦调查局发出警告称，农业部门对技术的依赖日益增加，增加了网络攻击的可能性。

“农民需要意识到并了解与其数据相关的网络风险，包括数字管理工具和应用程序开发商以及云服务提供商，并制定足够的网络安全和违规响应计划，”联邦调查局当时表示。 Sick Codes 对该公司的兴趣始于今年早些时候，此前一位同事指出任何 John Deere 产品都没有 CVE，考虑到该公司如何转向云计算等技术，这是一个奇怪的发现。 Sick Codes 和约翰迪尔之间存在一些紧张关系。在今年早些时候开始研究后，Sick Codes 试图向 John Deere 报告安全漏洞，但他说他一开始没有收到任何回应。 Sick Codes 与隶属于美国政府网络安全和基础设施安全局的 ICS CERT 共享了该信息，并试图联系约翰迪尔。此外，Sick Codes 的一位同事 Willie Cade 是芝加哥的一名电子产品和“维修权”爱好者，他与他一起向 John Deere 披露了早期的错误。 “我的意思是，我们花了三个星期的时间才联系到他们 [John Deere] 告诉他们他们遇到了问题，”Cade 在 5 月份告诉 ISMG。 “我通过联邦快递将我们的 CVE 报告的打印副本实际发送给 [John Deere 的] 董事长、首席法律官和现任 CIO。在它到达后的第二天，漏洞就得到了修复。”约翰迪尔以及科技行业的许多其他人一直反对日益增长的“维修权”运动，该运动提倡更多地使用诊断工具、手册和软件。访问 John Deer 的运营中心将允许 Sick Codes 远程访问农民的拖拉机，使用 Deere 为所有者提供的支持功能，如果落入坏人之手，可能是灾难性的。

例如，增加化学品的数量可能会在某个领域造成拒绝服务的情况。 Sick Codes 说，在没有提醒农民的情况下大幅增加化学物质的施用量可能会使田地不育。 “你可以通过几行恶意代码永久拒绝为农民的作物提供服务，”Sick Codes 在他的演讲中说。使用拖拉机可能会产生其他恶意结果。一些拖拉机是自动驾驶的，因此恶意的人可以将拖拉机引导到河流或高速公路上。拖拉机的电子控制单元可能设置得太用力而出现故障。更微妙的攻击可能会导致拖拉机以稍微偏离目标的方式播种。 Sakura Samurai 发现了许多其他问题，其中一个问题是约翰迪尔用来预订拖拉机和设备贷款的系统，称为 Machine Book。他们发现了一些缺陷，可以让他们预订拖拉机、取消订单和重新分配设备。该系统只对员工开放，同时也暴露了部分员工数据。进一步探索，他们还发现他们可以通过 SQL 注入缺陷转储数据库。该数据库大约有 1,000 行。它包含所有的预订、用户名、电子邮件地址等等。 Sick Codes 表示，John Deere 的竞争对手可以获得公司向其借出设备的影响者的个人详细信息。