Независимый ИБ-специалист, известный под ником BobDaHacker, обнаружил проблемы в защите компании Pudu Robotics (ведущего мирового поставщика коммерческих сервисных роботов). Уязвимости позволяли злоумышленникам перенаправлять роботов в любое место и вынуждали их выполнять произвольные команды.
Pudu Robotics — китайский производитель роботов, которые выполняют самые разные задачи: от подачи еды в ресторонах с помощью BellaBot до управления системами, разработанными человеком (например, лифтами) с помощью FlashBot. По данным компании Frost and Sullivan, в прошлом году компания занимала 23% рынка подобных устройств.
BobDaHacker обнаружил, что может получить доступ к управляющему ПО роботов, поскольку административный доступ оказался не заблокирован. Для такой атаки злоумышленнику требовался действительный токен авторизации, который можно было получить с помощью межсайтового скриптинга, или просто создав тестовую учетную запись, которая предназначена для тестирования роботов перед покупкой.
После прохождения первичной аутентификации никаких дополнительных проверок безопасности не было. Это позволяло любому желающему изменять заказы, перемещать роботов в новые места и переименовывать их, чтобы сделать восстановление после атаки более сложным.
То есть атакующий получал возможность перенаправлять заказанную еду в произвольные места или вообще отключить весь парк ресторанных роботов. Также исследователь отмечает, что злоумышленники могли вынудить FlashBot испортить офисные системы или похитить интеллектуальную собственность.
Когда исследователь попытался связаться с представителями Pudu Robotics и сообщить им о проблеме, он не получил ответа. Так, 12 августа BobDaHacker отправил первые письма, однако отделы технического обслуживания, поддержки и продаж не отреагировали. Выждав до 21 августа, специалист снова разослал новые электронные письма, обратившись более чем к 50 сотрудникам компании и пытаясь привлечь хоть чье-то внимание.
Вновь не получив ответа, исследователь стал связываться с ресторанами-клиентами Pudu Robotics, и японская сеть ресторанов Skylark Holdings, а также сеть Zensho отнеслись к полученным предупреждениям серьезно.
Примерно через 48 часов после того, как BobDaHacker вышел на связь с клиентами, представители Pudu Robotics наконец ответили на его письмо. При этом специалист писал, что ответ явно был написан ChatGPT. «Они даже не потрудились убрать заглушку в шаблоне ChatGPT. Просто невероятное старание», — заявлял эксперт.
В компании поблагодарили специалиста за обнаружение уязвимостей следующим сообщением:
«Спасибо за ценный вклад в обеспечение нашей безопасности. Если вы захотите поделиться дополнительными подробностями или у вас возникнут вопросы, пожалуйста, не стесняйтесь обращаться ко мне напрямую по адресу [Ваш адрес электронной почты]», — написал представитель компании.
Тем не менее, после этого Pudu Robotics исправила перечисленные исследователем уязвимости и защитила свои системы.
3 сентября BobDaHacker обновил свою публикацию и сообщил, что, оказывается, в компании не игнорировали его сообщения. Первые письма действительно не дошли до адресатов, но позже отчет о проблемах был получен по другим каналам. После этого разработчики начали работу над исправлением, но на связь с исследователем компания вышла лишь после того, как исправление было готово к внедрению.
Также представители Pudu Robotics извинились за оплошность с заглушкой «[Ваш адрес электронной почты]» и сообщили, что уже создали отдельный адрес (security@pudutech.com) для сообщений об уязвимостях и других проблемах с безопасностью.
