现代农业设备正日益自动化，全球粮食供应链安全受挑战

现在可以远程控制的自主耕作设备有助于养活人类，但如果农用设备被黑客攻击呢？

 

8月8日，在DEF CON29会议上，一位澳大利亚研究人员（仅称为"病态代码"）详细描述了他所说的"大量漏洞"，如果被攻击者利用，将对全球食品供应链产生严重后果。研究人员解释说，现代农业设备正日益自动化，设备由中央控制台控制，可以进入许多不同的农场。

研究人员详细介绍了如果攻击者能够进入连接的农场，可能发生一系列的潜在灾难性事情。例如，黑客可以引导化学处理过度喷洒，将肥沃的土地变成不能代代相传的不育土地。由于拒绝服务攻击，农民在关键时刻播种的能力可能会受到影响，从而阻止农民种植作物。另一个巨大风险来自这样一个事实，即攻击者可以控制像拖拉机这样的农业设备，并将其发送到错误的位置，甚至将其从农场开到高速公路上。

"我们认为在网站上停机五分钟，可能是拖拉机驾驶自动轨道离线，而拖拉机继续驾驶，撞到一棵树，或伤害某人之间的区别。""病态代码"说。

 

互联农场的漏洞

研究人员指出，如今几乎每个农场都与各种不同的技术相连，包括带有4G和5G的蜂窝，以及Wi-Fi和GPS。农业设备现在也越来越多地使用LoRa协议以及 NTRIP，这有助于提供准确的定位。

就农业设备供应商 John Deere 而言，"病态代码"指出，信息和控制可以通过约翰迪尔运营中心远程处理，他和他的同事能够侵入该中心。

研究人员能够发现多个漏洞，包括他所说的基本用户名列举问题。有了这个漏洞，他很容易识别设备所有者的用户名。还有一个跨站点脚本 （XSS） 漏洞，使研究人员能够获得更多的信息。

"很明显，XSS是一个非常基本的漏洞，但它确实向你表明，他们没有考虑到基本漏洞，"研究人员说。

事实证明，XSS只是问题最少的问题。"病态代码"详细描述了他如何能够访问一个远程系统，该系统基本上让他能够控制约翰迪尔运营中心能够访问的一些连接农业设备。

他说："在约翰迪尔运营中心，我们可以用任何我们想要的东西做任何我们想做的事。

研究人员指出，所有的漏洞信息都泄露给约翰迪尔，后者没有立即作出反应。然后，研究人员还让美国政府的网络安全和基础设施安全局（CISA）参与进来，帮助修复了这些问题。

 

转自infosecurity，作者肖恩·迈克尔·克纳，超级科技译，合作站点转载请注明原文译者和出处为超级科技！

Hi，我是超级科技

更多干货，可移步到，微信公众号：杭州超级科技！精彩与您不见不散！

超级科技是信息安全专家，能无上限防御DDos攻击和CC攻击，阿里云战略合作伙伴！