Vernetzte Bauernhöfe – leichte Beute für den Hack der globalen Lebensmittelversorgungskette

  • Sicherheitslücken bei John Deere könnten es Cyberangreifern ermöglichen, Ernten, umliegendes Eigentum oder sogar Menschen zu schädigen, Ernten zu beeinträchtigen oder Ackerland für Jahre zu zerstören.

    Eine Gruppe von Hackern hat in einer beunruhigenden Präsentation auf der DEF CON 29 gezeigt, wie die ausufernde Entwicklung der digitalen und automatisierten Landwirtschaft die weltweite Lebensmittelversorgungskette anfällig für Cyberangriffe macht.

    In einem Video für die Hackerkonferenz DEF CON 29, das diese Woche von der Gruppe Sick Codes veröffentlicht wurde, wird erklärt, dass die moderne Landwirtschaft ein hochtechnologisiertes, datengesteuertes Unternehmen wie jedes andere ist, das versucht, seinen Weg zu größeren Gewinnspannen zu innovieren.

    Bauernhöfe sind durch Wi-Fi, 5G, Funksensoren und mehr miteinander verbunden, und zunehmend wird jeder Vorgang auf dem Bauernhof überwacht und seine Daten zur Analyse gesammelt. Der Erzähler von Sick Code, der sich Good Hackerman nennt, verwendet den John Deere 7450 Self-Propelled Forage Harvester als Paradebeispiel.

    Der Monstertraktor ist vollautomatisch, verfügt über GPS, hat autonome Fähigkeiten und kann sogar von einem John Deere-Kundendienstmitarbeiter ferngesteuert werden, um Kunden bei Problemen zu helfen.

    Die Befürchtung, dass ein Bedrohungsakteur die Funktion dieser Maschinen übernehmen könnte, um Ernten und umliegendes Eigentum zu beschädigen oder sogar Menschen zu verletzen, sei real, sagte Goodman und fügte hinzu, dass Denial-of-Service (DoS)-Angriffe enorme Auswirkungen auf die Ernten haben könnten und das übermäßige Versprühen von Chemikalien Ackerland für Jahre zerstören könnte.

    Alles, was passieren muss, ist, dass ein Hacker “ein Firmware-Update hochlädt, das einen Offset in die vom Ziel verwendeten GPS-Positionen einfügt”, sagte die Gruppe. “Das Ziel steuert sich selbst auf eine Autobahn, in einen Fluss, durch einen Zaun, über eine Klippe oder was auch immer. Das Ziel wird zerstört.”

    Globale Farmdaten ungeschützt

    Auch die Sperrung der Daten der weltweit größten landwirtschaftlichen Betriebe könnte eine Überlegung wert sein.

    Nach Angaben von John Deere sind die derzeit verkauften Traktoren mit einem Feuchtigkeitssensor namens HarvestLab und einem allgemeinen Überwachungssoftware-System namens Harvest Monitor verbunden, das Produktivitätsmessungen in Echtzeit auf einem Monitor anzeigt. Außerdem gibt es die Software HarvestDoc, die Erntedaten wie Ertrag und GPS-Standort erfasst, die später zur Analyse an die Apex Farm Management Software gesendet werden können.

    Außerdem gibt es eine Funktion namens AutoLOC, die anhand der HarvestLab-Feuchtigkeitsmesswerte die Schnittdauer des Traktors anpasst, um ein optimales Ergebnis zu erzielen.

    Es ist leicht einzusehen, wie praktisch diese nahtlose, ständige Datenerfassung und -analyse für Landwirte sein könnte, doch die Sicherheit der Speicherung all dieser Daten über die modernen landwirtschaftlichen Betriebe der Welt auf einer einzigen Plattform muss bedacht werden, wie Hackerman betont.

    Mit etwas mehr Zeit konnte Sick Codes in die John Deere-Plattform eindringen, um Änderungen an den Versorgungsnetzen, den Reservierungen von Geräten und sogar an den Kontaktdaten derjenigen vorzunehmen, die von John Deere “Vorführgeräte” erhalten hatten.

    Sick Codes konnte auch eine Fehlkonfiguration des Pega Chat Access Group Portals von John Deere (CVE-2021-27653) finden, die standardmäßig Admin-Zugangsdaten verwendet und somit jedem auf der Plattform Zugang gewährt. Von dort aus war das Team in der Lage, zusätzliche Anmeldedaten, das ursprüngliche Signaturpasswort und sogar das Verschlüsselungszertifikat zu finden.

    “Wir konnten buchstäblich mit allem, was wir wollten, in der John Deere-Betriebszentrale machen, was wir wollten – Punkt”, so Goodman. “An dieser Stelle haben wir aufgehört, denn wir hatten so ziemlich die gesamte Organisation.”

    Der größte Konkurrent von John Deere, Case, hat ebenfalls klaffende Sicherheitslücken, fügte das Team hinzu – einschließlich ungeschützter Server, personenbezogener Daten, IP-Adressen und mehr.

    Kranke Codes erregen die Aufmerksamkeit der Agrarindustrie

    Da John Deere nicht sofort auf die Berichte von Sick Codes reagierte, schaltete Goodman die U.S. Cybersecurity Infrastructure and Security Agency (CISA) ein, um Abhilfemaßnahmen zu ergreifen. Case reagierte ebenso wenig, wie der Bericht hinzufügte.

    Eine Sprecherin von John Deere teilte Threatpost mit, dass Mitglieder des Sicherheitsteams des Unternehmens seit April mit Sick Codes in Kontakt stehen und fügte hinzu, dass das Unternehmen die Schwachstellen ernst nimmt und die Möglichkeit schätzt, die uns zur Kenntnis gebrachten Probleme zu entschärfen.

    John Deere fügte hinzu, dass das Sicherheitsteam “verifiziert hat, dass keine der identifizierten Schwachstellen den Zugang zu Kundenkonten, agronomischen Daten, Händlerkonten oder sensiblen persönlichen Informationen ermöglichte – und dass sie auch niemandem die Möglichkeit gaben, Geräte fernzusteuern. “

    Um die Sicherheit bei John Deere zu verbessern, hat das Unternehmen nach eigenen Angaben die jährlichen Investitionen in die Sicherheit um 750 Prozent erhöht und eine Partnerschaft mit HackerOne für ein Bug-Bounty-Programm geschlossen.

    “Wir wissen, dass dies eine Reise ist”, sagte ein Sprecher von John Deere gegenüber Threatpost. “Wir haben uns stark dafür eingesetzt, unser eigenes Sicherheitsteam zu vergrößern und mit Sicherheitsexperten von Dritten zusammenzuarbeiten, um unsere Sicherheitssysteme weiter zu testen und zu verbessern. “

    In der DEF CON 29-Präsentation wurde erklärt, dass Sick Codes in Absprache mit einem Landwirt und Enkel eines Vorstandsmitglieds von John Deere, Willie Cade, einem Landwirt und Ingenieur aus Nebraska, Kevin Kenny, sowie Paul Roberts von Security Ledger zusammengestellt wurde, der Goodman zuerst darauf hinwies, dass John Deere keine CVEs besaß.

    “Warum haben wir angefangen, uns mit der Landwirtschaft zu beschäftigen?” sagte Goodman in dem Video. “Weil es sonst niemand tat.”

    Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Registrieren Sie sich jetzt für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs. Finden Sie heraus, wo genau Angreifer Sie ins Visier nehmen und wie Sie zuerst dorthin gelangen können. Seien Sie dabei, wenn Moderatorin Becky Bracken und die Uptycs-Forscher Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST an dieser LIVE-Diskussion teilnehmen.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com