Security Week 2452: уязвимости в цифровых автомобильных номерах
На прошлой неделе в журнале Wired вышла публикация об уязвимостях, обнаруженных компанией IOActive в цифровых автомобильных номерах. Такие номера производятся и поддерживаются в США компанией Reviver и разрешены к установке в штатах Калифорния и Аризона. Производитель пытается привлечь клиентов возможностью частичной кастомизации внешнего вида номеров, а также дополнительными удобствами. В США валидность номера также подтверждается каждые пару лет стикером, указывающим на дату последней регистрации и техосмотра авто. Электронные номера позволяют в электронном виде демонстрировать и стикеры тоже.
Очевидно, что защита такого электронного устройства должна быть на высоком уровне, иначе владелец автомобиля или постороннее лицо смогут не только выполнять «кастомизацию внешнего вида», но и менять номер автомобиля на любой другой и таким образом избегать систем видеонаблюдения, штрафов и оплаты проезда. Исследование IOActive показало, что защита у номеров Reviver в целом неплохая, но недостаточная — системы безопасности удалось обойти с помощью техники Fault Injection.
Атаки типа Fault Injection нацелены непосредственно на аппаратное обеспечение. Типичная атака такого типа предполагает подачу на атакуемое устройство или конкретный чип на плате завышенного или заниженного напряжения. В большинстве случаев такое нештатное питание либо вовсе не приводит ни к каким изменениям в работе устройства, либо приводит к зависанию, либо выводит устройство из строя. Задача атакующего — подобрать такой режим (напряжение, а также время и длительность воздействия), чтобы повлиять на выполняемые на устройстве вычисления, не прерывая их полностью.
Простейший пример практического применения подобной техники — это атака на механизм проверки пароля. Мехнизм ждет ввода от пользователя, сравнивает введенный пароль с сохраненным и, если они совпадают, открывает доступ к данным. Fault Injection при определенных условиях позволяет обойти процесс проверки, но сохранить работоспособность и устройства, и кода в целом. То есть повлиять на работу устройства так, чтобы инструкция проверки была пропущена, доступ к данным открывался при вводе любого пароля.
Довольно часто целью аппаратных атак становится процесс Secure Boot. По двум причинам: во-первых, обход систем защиты на начальном этапе обеспечивает широкие возможности для развития атаки. Во-вторых, на более поздних стадиях загрузки, когда компьютер или иное вычислительное устройство выполняет одновременно множество программ, становится сложнее (но не невозможно) подобрать параметры для успешной атаки Fault Injection. Хотя представитель IOActive в интервью Wired и не раскрыл технических деталей исследования, судя по всему, речь идет именно об атаке на Secure Boot.
Целью исследователей стала зашифрованная прошивка устройства. С помощью аппаратной атаки обеспечивалась возможность считывания прошивки без шифрования. Затем был найден способ модификации прошивки и записи измененного кода так, чтобы он проходил проверку и выполнялся. Результат: устройство продолжает работать, но появляется возможность не управлять «кастомизацией», а выводить на экран «автомобильного номера» произвольные данные. Чуть менее криминальный вариант взлома — не менять автомобильный номер, но и не платить производителю абонентскую плату за те самые возможности кастомизации.
Примечательно, что компания — производитель цифровых автономеров долгое время не реагировала на попытки исследователей выйти на связь и передать информацию об обнаруженных аппаратных уязвимостях. Лишь запросы со стороны журналистов Wired вынудили компанию Reviver признать наличие проблемы. В своем заявлении компания, впрочем, отмечает, что атака чрезвычайно сложная и ее эксплуатация маловероятна на практике.
И это действительно так: собрать успешную атаку Fault Injection с нуля крайне тяжело. Но как только параметры атаки подобраны, воспроизвести взлом на новом устройстве гораздо проще. Да, в любом случае потребуется физический доступ к устройству. Не получится перенести атаку на программный уровень (разве что в дешифрованной прошивке найдутся другие уязвимости). Такие атаки имеют смысл, когда потенциальная выгода от взлома высока. В данном случае это возможность ездить с чужим номером для сокрытия преступлений, не платить абонентскую плату поставщику сервиса. Именно поэтому хрестоматийный пример массовой эксплуатации аппаратных атак — это игровые консоли. Потенциальная выгода (не платить за дорогие легальные игры, запускать пиратские копии) оправдывает высокие затраты как на разработку метода атаки, так и на ее применение, часто требующее дополнительной «железной» надстройки над штатной платой устройства.
Атаку типа Fault Injection сложно реализовать, однако защититься от неё не проще: выпустить «программную заплатку» для решения проблемы невозможно. Да, определенную защиту от аппаратных атак можно реализовать в коде. Но часто избавление от уязвимости невозможно без замены уязвимых чипов на защищенные и (или) перепроектирования устройства целиком. Именно это придется сделать Reviver для решения проблемы, причем уже выпущенные устройства останутся уязвимыми навсегда.
Впрочем, найти уязвимость в софте пока сильно проще, чем проводить атаку на железо. Это на примере той же компании Reviver показал в 2022 году известный исследователь безопасности Сэм Карри. Он нашел простейшую уязвимость в бэкенде для обработки запросов от фирменного приложения, получил максимальные права в «админке» и мог менять данные клиентов по своему усмотрению.
Что еще произошло
Эксперты «Лаборатории Касперского» подробно разбирают новые приемы атак группировки Lazarus. В других новых публикациях «Лаборатории Касперского» также разбирается эксплуатация уязвимости в FortiClient EMS для проведения атак на организации, исследуется метод распространения вредоносного ПО под видом сервиса для отслеживания посылок и анализируются инструменты, используемые группировкой Cloud Atlas.
Компания Check Point предупреждает о фишинговых атаках с использованием сервиса Google Calendar. Рассылка спама через приглашения в календарь Google практикуется давно, но в данном случае речь идет о правдоподобных приглашениях на встречи, рассылаемых сотрудникам организации, в случае если последняя использует для почты и ведения календаря сервисы Google. Некорректная настройка администраторами учетной записи Google Workspace может серьезно увеличить шансы на успешный взлом корпоративной инфраструктуры.
Серьезная уязвимость, приводящая к выполнению произвольного кода, закрыта в веб-сервере Apache Tomcat.
