Le vulnerabilità di John Deere, possono compromettere il cibo e i raccolti.


Un gruppo di ricercatori, guidati da un hacker noto come Sick Codes, ha parlato alla Def Con della scoperta di molteplici vulnerabilità nei sistemi di John Deere e Case New Holland, due delle più grandi aziende di attrezzature agricole.



Gli esperti hanno avvertito che nelle mani degli aggressori, queste vulnerabilità potrebbero minacciare sia i consumatori che la catena di approvvigionamento.


Entrambe le società producono macchinari agricoli ad alta tecnologia e i ricercatori ritengono che attaccare gli utenti di tali imprese agricole potrebbe compromettere seriamente i raccolti e i segreti commerciali.



È interessante notare che John Deere ha recentemente lanciato il proprio programma di bug bounty su HackerOne e Sick Codes è stato invitato a partecipare all'iniziativa quando ha contattato l'azienda questa primavera in merito ai bug rilevati. Tuttavia, alla fine, il ricercatore si è rifiutato di partecipare al programma, poiché si è reso conto che in questo caso avrebbe dovuto firmare un accordo di non divulgazione.



Durante un discorso al Def Con, Sick Codes ha preso in considerazione una serie di vulnerabilità, arrivando infine a problemi che consentono a "qualsiasi utente di scaricare file arbitrari, accedere come qualsiasi utente <...> scaricare quello che vogliono, distruggere qualsiasi dati, accedi a qualsiasi account ". Gli hacker hanno sottolineato che le vulnerabilità potrebbero fornire agli aggressori l'accesso remoto per scaricare o caricare file su attrezzature agricole, compresi i trattori.

“Potevamo letteralmente fare quello che volevamo con qualsiasi cosa nel centro operativo John Deere. Punto. Dopodiché, ci siamo fermati perché, in effetti, l'intera organizzazione era compromessa"

ha detto Sick Codes a Vice Motherboard per telefono.



"Se nessuno facesse quello che abbiamo fatto noi gratuitamente, i cattivi verrebbero a farlo per soldi".

In risposta a questa presentazione, i rappresentanti John Deere hanno dichiarato quanto segue:

“Nessuna di queste affermazioni (comprese quelle fatte alla Def Con) aiuta ad accedere ai conti dei clienti, ai dati agronomici, ai conti dei fornitori o alle informazioni personali sensibili. Inoltre, contrariamente a quanto affermato al Def Con, nessuno dei problemi individuati dai ricercatori potrebbe influenzare le macchine utilizzate. John Deere fa della sicurezza dei sistemi e dei dati una priorità assoluta e lavora instancabilmente per identificare e risolvere qualsiasi problema il più rapidamente possibile. John Deere riconosce inoltre l'importanza del ruolo che i nostri prodotti svolgono nella sicurezza alimentare e nella catena di approvvigionamento alimentare globale".

Inoltre, la società ha affermato di aver aumentato la spesa per la sicurezza "di circa il 750%" negli ultimi sette anni.



“Se hai accesso alle fattorie, puoi fare cose come irrorare eccessivamente i campi con prodotti chimici. Puoi dare a una fattoria del genere una "negazione del servizio" perpetua, semplicemente sovraccaricando letteralmente il terreno fertile con troppe sostanze chimiche "

ha detto Sick Codes durante la presentazione.


Ad esempio, Case New Holland fornisce ai clienti l'accesso remoto ad alcune apparecchiature, situate a centinaia di chilometri di distanza, utilizzando solo i dati dell'utente.



La ricerca del team Sick Codes ha dimostrato che il server Case JavaMelody può essere compromesso, portando alla divulgazione di dati sensibili, inclusi dati sulla posizione, indirizzi IP, ID di sessione e nomi completi delle persone.


Utilizzando queste informazioni, gli aggressori saranno in grado di impersonare gli utenti e infiltrarsi nel sistema.



Gli hacker hanno anche ottenuto l'accesso alle credenziali amministrative di John Deere Pega, Inoltre, hanno scoperto un problema nel sistema di numerazione degli utenti che consentiva a un utente malintenzionato remoto non autenticato di accedere alle informazioni personali di un utente, inclusi ID, nomi completi e indirizzi.