Güvenlik araştırmacısı Eaton Zveare, büyük bir otomobil üreticisinin bayi portalında, saldırganların tüketici araçlarının kilidini açmasına ve her yerden başlatmasına izin verebilecek kritik bir kusur açıkladı.
Amerika Birleşik Devletleri genelinde 1.000’den fazla bayi tarafından kullanılan belirsiz bir merkezi bayi yazılım platformunda keşfedilen güvenlik açığı, doğrudan bir arka kapıyı bağlı otomobil hizmetlerine maruz bırakarak uzaktan başlatma, kapı kilitleri ve konum izlemenin yetkisiz kontrolünü sağlıyor.
AngularJS ön uca sahip bir Java arka ucunda inşa edilen ve iki faktörlü kimlik doğrulama ile korunan duyarlı platform, satış siparişlerini, müşteri potansiyel müşterilerini ve araç kayıtlarını yönetmeyi amaçlamıştır.
Zveare’in araştırması, portalın HTML’sine gömülü gizli kayıt formlarının sadece CSS özelliklerini değiştirerek, davetkar doğrulama doğrulamasını atlayarak ve yeni kullanıcı hesabı oluşturma ayrıcalıkları vererek ortaya çıkabileceğini gösterdi.
Oradan, bir saldırgan, kullanıcı rolleri yerine yalnızca oturum tanımlayıcılarını doğrulayan bir API’dan yararlanabilir ve ulusal yönetici hesaplarını tam bayi düzeyinde ayrıcalıklarla oluşturabilir.
Ulusal yönetici haklarına sahip olduktan sonra, saldırgan herhangi bir bayi hesabını seçebilir ve portalın tüketici kayıt arayüzüne gidebilir.
Üç adımlı bir süreç-bir kurbanın adı veya araç kimlik numarası (VIN), kilometre sayacı okumaları ve sürüş alışkanlıklarını ve temel hesap detaylarını doğrulamak-hedef aracın mülkiyet aktarımını tetikler.
Şüphesiz sahibi, tersine çevirmek için herhangi bir eyleme geçirilebilir bilgi olmadan, aktarımın yalnızca otomatik bir e -posta bildirimini alır. Saldırganlar daha sonra resmi mobil uygulama aracılığıyla aracı kontrol edebilir.
ZVEARE, bu sorunun otomobil üreticisinin 2012 yılına dayanan standart telematik modülü ile donatılmış tüm araçları etkilediğini vurguladı.
“Sadece hedefin bir otoparktan saniyeler içinde kazınabilen ad ve soyadına veya Vin’e ihtiyacınız var” diye uyardı.
“Bu sessiz bir devralma – kötü niyetli e -postalar yok, kimlik avı yok. Bayilere kayıt için son mil olarak güvenildi ve bu güven istismar haline geliyor.”
Riski daha da birleştiren ZVEARE, portal içindeki eşit derecede güçlü bir kullanıcı inceleme özelliğinin, alt markalar ve bölgesel bayi sistemleri boyunca dönecek şekilde istismar edilebileceğini, oturum izolasyon kontrollerini ve iki faktörlü kimlik doğrulamasını tamamen atlayabileceğini ortaya koydu.
SSO sistem tanımlayıcılarını manipüle ederek, ulusal yönetici kimlik bilgilerine sahip bir saldırgan, iştirak platformlarına giriş kazanabilir ve potansiyel uzlaşma kapsamını artırabilir.
Şubat ayı başlarında bilgilendirilen otomobil üreticisi, güvenlik açığını kabul etti ve tüm API uç noktalarındaki kullanıcı rollerini doğrulamak için arka uç yamaları uyguladı.
Şirket, düzeltmelerin tamamlandığını doğruladı ve Zveare’e kamu açıklamasından önce iyileştirme çabalarını doğrulamaya davet etti.
Müşterilere hesap faaliyetlerini izlemeleri ve portal kimlik bilgilerini ek bir önlem olarak değiştirmeleri konusunda bilgilendirilmiştir.
Bu olay, aşırı ayrıcalıklı kurumsal uygulamaların ortaya koyduğu derin riskleri vurgulamaktadır ve her API çağrısı için sıfır tröst doğrulamasının önemini vurgulamaktadır.
Araç bağlantısı derinleşmeye devam ettikçe, saldırı yüzeyi satıcı ve hizmet portallarını içerecek şekilde geleneksel bilgi -eğlence ve mobil uygulamaların ötesine genişler.
Güvenlik uzmanları, otomobil üreticilerini ve bire-one tedarikçileri, benzer yüksek etkili ihlalleri önlemek için kapsamlı penetrasyon testleri yapmaya, en azından ayrı prensipleri uygulamaya ve sürekli olarak erişim kontrollerini denetlemeye çağırır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!