Büyük bir otomobil üreticisinin bayi portalındaki ciddi bir kusur, yetkisiz saldırganların bayi hesaplarına kaydolmasına, ulusal bir yöneticiye ayrıcalıkları artırmasına ve araçları uzaktan kontrol etmesine izin verdi.
Güvenlik açığı, gizli kayıt formlarının açığa çıkabileceği ve istismar edilebileceği portalın Java/SAP arka uç ve AngularJS ön ucunda bulunur.
Takeaways
1. Attackers exposed a hidden registration form in the AngularJS frontend and submitted blank Invite_Token values.
2. A JSESSIONID from the profile-update API, combined with patched client-side checks, granted national admin privileges.
3. With elevated access, the VIN enrollment API was abused to transfer car ownership and send remote commands.
Gizli kayıt ve oturum belirteçlerinden yararlanmak
Güvenlik araştırmacısı Eaton Zveare’e göre, saldırı gizli bir HTML kayıt formunun keşfedilmesiyle başladı (
Formu Chrome Devtools aracılığıyla görüntülenmeye zorlayarak ve Invite_Token parametresini isteğine atlayarak, saldırganlar sunucu tarafı jeton doğrulamasını tamamen atladı.
Kritik API uç noktası boş jetonları kabul ederek herhangi bir haydut kullanıcıya bayi çalışanı olarak kaydolma yeteneği verdi.
Kayıt olduktan sonra, saldırgan normal girişin kullanılabilir bir oturum oluşturmadığını keşfetti, ancak Profil Güncellemesi API’sını çağırmak geçerli bir JSessionId çerezi oluşturdu.
Bu oturum jetonu ile ZVEARE, Chrome’un Yerel Overrivides özelliğini kullanarak anahtar JavaScript işlevlerini yamalı, commonutil.srefinfo commonutil.checkstatevalid () ‘de “Erişim” modunu kontrol eder ve atlar.
Bu, Dahili ve Harici Kullanıcı Yönetimi Modülünde gezinmeye ve API aracılığıyla her bayinin kullanıcı listesinin maruz kalmasına izin verdi:
Uzak araba kontrolü
Ulusal bir yönetici grubuna başarılı bir ayrıcalık artışının ardından ZVEARE, bayi SSO yönetim sistemine erişti ve “Portal Giriş” taklit özelliğinden yararlandı.
SSO URL’sinde SSO_SYS_ID parametresini değiştirerek, daha önce erişilemeyen alt marka satıcı portallarına döndü.
Bu istismar zinciri, müşteri hesaplarının bir VIN ile eşleştirilmesini destekleyen araç kayıt API’sına erişmekle sonuçlandı:
Test hesabına aktarılan sahiplik ile ZVEARE, resmi mobil uygulamayı uzaktan açma ve komutları başlatarak tam kontrolü teyit etmek için kullandı.
Mağdurlar otomatik bir e -posta uyarısı aldı, ancak sessiz devralmayı tersine çevirme yeteneğinden yoksundu.
Kusur, 2012 model yılından itibaren standart telematik modülleriyle donatılmış tüm araçları etkiler.
Otomobil üreticilerinin sunucu tarafı davet belirteci doğrulamasını uygulamak, JSessionID çerezleri için oturum yönetimini sıkılaştırmak ve tüm yönetim API’lerinde en az özel kontroller uygulamak için acil yamalar uygulamaları istenir.
Söz konusu otomobil üreticisi, Invite_token değerlerini zorunlu olarak doğrulayan ve hassas uç noktalarda rol tabanlı erişim kontrolünü zorlayan bayi portalının 1.2.3 sürümünü yayınladı.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.