Исследователь безопасности Джейсон Хьюз (Jason Hughes) наконец обнародовал подробности о нашумевшем в 2017 году наборе уязвимостей инфраструктуры Tesla, который позволил ему получить возможность удаленного управления любым автомобилем из парка производителя. Так как компания значительно усилила свои рубежи ИБ и исправила показанные экспертом недоработки в архитектуре защиты, Джейсон посчитал нужным и важным опубликовать подробности той атаки для понимания другими компаниями возможных рисков в своей среде разработки.
Как происходила атака
- API ресурса Tesla Toolbox (toolbox.teslamotors.com) позволило выгрузить все модули разработки, а также ключи для расшифровки исходников. Шифрование использовалось слабое, и, таким образом, эксперт смог получить исходники на Python.
- В исходниках были захардкожены учетки для некоторых внутренних сервисов Tesla, которые требуют рабочего VPN для доступа. В том числе учетные данные для сервера dev.teslamotors.com.
- У эксперта были VPN-ключи доступа к одной из машин Tesla (аварийной). После подключения, сканирования пула внутренних IP-адресов, которое, кстати, не было ни заблокировано, ни задетектировано, обнаружилось несколько явно внутренних ресурсов. То есть VPN-ресурсы не были корректно сегментированы.
- Также эксперт нашел сервер dev.teslamotors.com и, подключивщись к нему с найденными ранее учетными данными, получил доступ ко многим исходникам серверной части ресурсов Tesla. Среди этих данных эксперт нашел захардкоженные рабочие учетные записи к серверу vpn.dev.teslamotors.com!
- Кроме того, исследователь нашел сервер Mothership, с которым связываются все машины Tesla. В комбинации с полученными учетными записями, добавленными статическими маршрутами на подходящие шлюзы и информацией с этого сервера ему удалось получить доступ к фактически любой машине Tesla с правами суперпользователя (suduer). Далее он мог выполнить любое действие: закрытие/открытие дверей, запуск/остановка мотора, начало/остановка неконтролируемой езды и т.п.
Комментируют эксперты Anagara Professional Assistance
Если реализация подключения от машины к серверной стороне была выполнена более-менее защищено (аутентификация с одноразовыми ключами доступа, шифрование и т.д.), то в ядре инфраструктуры присутствовала масса недоработок: отсутствие адекватной сегментации VPN-сегмента, отсутствие проверки исходного кода и недостаточная его защита, слабое шифрование, отсутствие защиты API. Захардкоженные учетные записи и пароли – это грубая ошибка информационной безопасности. Кроме того, ни один из шагов эксперта не был обнаружен командой ИБ Tesla. А данные на ресурсах dev.teslamotors.com он изучал семь дней. То есть были регулярные подключения и доступы к сугубо конфиденциальным ресурсам, внесение системных изменений и другие действия, которые остались не замеченными. Компания выстроила достаточный внешний периметр, но не учла возможности проникновения за него. Внутренняя инфраструктура была абсолютно не готова ко взлому ни с точки зрения защиты, ни мониторинга.
Каких средств защиты не хватило:
- Средств внутренней сегментации. Angara Professional Assistance рекомендует NGFW шлюзы следующих производителей:
- Palo Alto,
- Check Point,
- Cisco,
- Huawei,
- Forcepoint Stonegate,
- UserGate.
- Средств контроля доступа в среду виртуализации и контейнеризации:
- vGate.
- Средств анализа кода:
- PT Application Inspector,
- InfoWatch Attack Killer,
- Fortify Static Code Analyzer,
- HCL AppScan (ex IBM).
- Средств мониторинга и анализа сети и поиска теневого ИТ:
- SkyBox Security Suite,
- Tufin Orchestration Suite,
- Algosec Security Management,
- Huawei eSight,
- SolarWinds Orion,
- Cisco Prime.
- Систем мониторинга событий:
- MicroFocus,
- IBM,
- RSA,
- Positive Technologies,
- НПО-Эшелон,
- Сервис ACRC SOC.
Это не конечный список средств защиты, скорее наоборот, необходимый минимум в компании, где серьезно относятся к ИБ. Сейчас Tesla значительно усилила инфраструктуру информационной безопасности, надеемся, что она внесет в свою культуру регулярные контролируемые тестирования на проникновение и не допустит подобных ошибок в будущем.
