Serviço autônomo de lavajato também pode ser hackeado!

De acordo com Billy Rios, renomado pesquisador de segurança, um serviço autônomo de lavagem de carros também pode ser hackeado. A interface web no sistema de acesso remoto de uma famosa marca que oferece esse serviço foi estudada por Rios, que constatou a utilização de senhas fracas que são facilmente descobertas, bem como outras características que poderiam permitir que um invasor tenha controle sobre as funções de um lavajato.

Rios decidiu explorar como esse tipo de serviço ficou exposto depois que um amigo seu (que é executivo de uma rede de postos que inclui serviços de lavagens de carro) contou-lhe uma história sobre um acesso indevido a um de seus equipamentos. O resultado causou o movimento do braço rotativo da lavagem que danificou uma minivan, e pulverizou a água para o interior do veículo, molhando os ocupantes do veículo.

O pesquisador procurou os serviços que estão de alguma forma disponíveis online (conectados à Internet), e os encontrou.

“Olhei na Internet alguns serviços de lavagens de carros e encontrei mais de 100 para a PQD LaserWash”. Esta marca executa um servidor web que é utilizado para a administração e controle remoto, além de utilizar o sistema operacional Windows CE e um processador ARM.

“Você pode facilmente acessar o servidor e ter maiores privilégios, pois é apenas uma solicitação HTTP POST”, diz Rios sobre os sistemas de lavagens de carro. Este não é um problema isolado na marca analisada, e sim em outras mil que estão online.

A interface web permite ter acesso às operações da lavagem, bem como para os técnicos poderem ajustar as partes mecânicas.

Todas as chamadas para o servidor web vão para as DLLs, diz Rios. Se um invasor conseguir a senha padrão do administrador e acessar via telnet, terá sob seu controle algumas das operações de lavagem de carro remotamente, e ainda manipular o lado das vendas.

“Você pode acessar o equipamento e obter uma lavagem grátis para o seu veículo apenas com a solicitação HTTP GET”, diz ele. O pedido é enviado para a DLL que inicia o tipo específico de lavagem, se ela é premium ou simples. “Isso realmente não é uma façanha, é uma funcionalidade que está integrada ao dispositivo. Você precisa apenas ter acesso à interface web”.

Uma infinidade de funções podem ser modificadas remotamente, como abrir e fechar as portas do compartimento ou desativar os sensores da lavagem de carro, por exemplo.

“Essas máquinas são muitos perigosas, e normalmente quando você as tem instaladas em algum lugar, elas devem ser operadas somente por técnicos qualificados. Elas podem ferir alguém. Então, quando você começa a colocar esses equipamentos online, o modelo de ameaça muda drasticamente”, disse Rios. Os dispositivos estão fisicamente ligados à lavagem de carro via Modbus, um protocolo de rede industrial muito popular.

A interface web basicamente traduz as solicitações da web para o Modbus, que opera fisicamente o equipamento de lavagem de carro. Rios diz que a possibilidade do acesso remoto às partes mecânicas deve ser bloqueado, pois as falhas de software podem ser facilmente exploráveis, como o SQL Injection e buffer overflow (Estouro de pilha) e, é claro, não se esquecer do uso de autenticação forte em vez de senhas fracas que pode ser facilmente descobertas.

Trey Ford, estrategista de segurança global da Rapid7, diz que os serviços de lavagem de carros são apenas um exemplo de todos os tipos de máquinas e sistemas que estão vulneráveis e disponíveis na Internet. Quando você começa a enviar comandos em nível de máquina, dando a direção para os dispositivos, tais como balançar o braço para fora, você poderá realmente comandar esses dispositivos.

A facilidade de conectar diversos dispositivos e equipamentos nos trás grandes benefícios, mas também cria um ambiente de insegurança que possibilita aos invasores terem acesso à informações críticas, e executarem o que foi relatado acima, dentre outras coisas mais. Vamos ficar atento(a)s!

Até a próxima!
[ads-post]