#DEFCON: Ausnutzung von Schwachstellen in der globalen Lebensmittelversorgungskette

  • Autonome landwirtschaftliche Geräte, die aus der Ferne gesteuert werden können, tragen heute zur Ernährung der Menschheit bei. Aber was wäre, wenn diese landwirtschaftlichen Geräte gehackt würden?

    Am 8. August beschrieb ein australischer Forscher, der nur unter dem Namen “Sick Codes” bekannt ist, auf der DEF CON 29-Konferenz eine “Traktorladung von Schwachstellen”, die, wenn sie von einem Angreifer ausgenutzt würden, verheerende Folgen für die weltweite Lebensmittelversorgungskette hätten. Der Forscher erklärte, dass moderne landwirtschaftliche Geräte zunehmend automatisiert werden, wobei die Geräte von einer zentralen Konsole aus gesteuert werden, die Zugriff auf viele verschiedene Betriebe haben könnte.

    Der Forscher führte eine ganze Reihe von katastrophalen Möglichkeiten auf, die sich ergeben könnten, wenn ein Angreifer Zugang zu den angeschlossenen Farmen erhält. Zum Beispiel könnte ein Hacker anordnen, dass chemische Behandlungen übermäßig versprüht werden, wodurch fruchtbares Land in unfruchtbares Land verwandelt wird, das über Generationen hinweg nicht genutzt werden kann. Ein Denial-of-Service-Angriff könnte die Fähigkeit eines Landwirts beeinträchtigen, Saatgut zu einem kritischen Zeitpunkt auszusäen, so dass der Landwirt keine Ernte mehr einfahren kann. Ein weiteres großes Risiko bestünde darin, dass ein Angreifer die Kontrolle über ein landwirtschaftliches Gerät wie einen Traktor erlangt und ihn an den falschen Ort schickt oder ihn sogar vom Hof auf eine Autobahn fährt.

    “Was wir bei einer Website als Ausfallzeit von fünf Minuten betrachten, kann den Unterschied ausmachen, ob ein Traktor, der auf einer Autostrecke fährt, offline geht, während der Traktor weiterfährt, einen Baum rammt oder jemanden verletzt”, sagte Sick Codes.

    Die Schwachstellen des vernetzten Bauernhofs

    Der Forscher stellte fest, dass heute fast jeder einzelne Bauernhof mit einer Vielzahl verschiedener Technologien verbunden ist, darunter Mobilfunk mit 4G und 5G sowie Wi-Fi und GPS. Landwirtschaftliche Geräte nutzen jetzt auch zunehmend das LoRa-Protokoll sowie NTRIP, das zu einer genauen Positionsbestimmung beiträgt.

    Im Fall des Landmaschinenherstellers John Deere stellte Sick Codes fest, dass Informationen und Steuerung aus der Ferne über das John Deere Operations Center erfolgen können, in das er und seine Kollegen sich einhacken konnten.

    Der Forscher entdeckte mehrere Schwachstellen, darunter auch ein grundlegendes Problem bei der Aufzählung von Benutzernamen, wie er es nannte. Mit dieser Schwachstelle war es ihm leicht möglich, die Benutzernamen der Gerätebesitzer zu ermitteln. Außerdem gab es eine Cross-Site-Scripting (XSS)-Schwachstelle, die es dem Forscher ermöglichte, noch mehr Informationen zu erhalten.

    “XSS ist natürlich eine sehr einfache Sicherheitslücke, aber sie zeigt, dass

    sie grundlegende Schwachstellen nicht in Betracht ziehen”, so der Forscher.

    Wie sich herausstellte, war die XSS-Schwachstelle nur das geringste der Probleme. Sick Codes beschrieb detailliert, wie es ihm gelang, Zugang zu einem Remote-System zu erhalten, das ihm im Wesentlichen die Kontrolle über einige angeschlossene landwirtschaftliche Geräte gab, auf die das John Deere Operations Center Zugriff hatte.

    “Wir konnten buchstäblich alles mit dem John Deere Operations Center machen, was wir wollten, Punkt”, sagte er.

    Der Forscher merkte an, dass alle Informationen über die Schwachstellen an John Deere weitergegeben wurden, das jedoch nicht sofort reagierte. Der Forscher schaltete dann auch die Cybersecurity and Infrastructure Security Agency (CISA) der US-Regierung ein, die bei der Behebung der Probleme half.

    John Deere war nicht der einzige Landmaschinenhersteller, bei dem der Forscher Probleme feststellte. Auch bei Case IH wurden von Sick Codes Schwachstellen festgestellt. Der Forscher fand heraus, dass Case IH einen öffentlich zugänglichen Java-Melody-Server verwendete, der Einblicke in und Kontrolle über die Aktionen der Geräte bot.

    “Wir konnten einfach den Java Melody Server für Ihre Sitzungen durchsuchen, und alles war öffentlich zugänglich, was lächerlich ist”, sagte der Forscher.

    Der Forscher merkte an, dass es zwar einige Zeit dauerte, er aber schließlich in der Lage war, mit Case IH in Kontakt zu treten, und dass der Hersteller die gemeldeten Probleme behoben hat.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com