Adam Bannister 07 Şubat 2023, 17:34 UTC
Güncellendi: 07 Şubat 2023, 17:38 UTC
Hacker, araba üreticisinin (merhametle) iyi niyetli pwnage’e hızlı tepkisini övdü
Bir güvenlik araştırmacısı, Toyota’nın tedarikçi yönetimi ağına sızdığını ve dünya çapında yaklaşık 3.000 tedarikçi ve 14.000 kullanıcıyla ilgili hassas verilere erişebildiğini söyledi.
Eaton Zveare Toyota çalışanları ve tedarikçileri tarafından projeleri koordine etmek için kullanılan ve parçalar, anketler ve satın almalar hakkında ayrıntılar içeren bir web uygulamasını tehlikeye attı. Sistemde bulunan önemli ortaklar ve tedarikçiler arasında Michelin, Continental ve Stanley Black & Decker yer almaktadır.
Araştırmacı nihayetinde oturum açma mekanizmasındaki bir arka kapı aracılığıyla bir sistem yöneticisi olarak Japon otomobil üreticisinin Küresel Tedarikçi Hazırlama Bilgi Yönetim Sistemine (GSPIMS) erişim sağladı.
İLGİLİ Otomobil şirketleri büyük ölçüde web güvenlik açıklarına maruz kalıyor
Zveare, kötü niyetli bir ihlalin Toyota çalışanlarının tedarikçiler ve risk ve diğer değişkenlere göre tedarikçi sıralamaları hakkında yaptığı yorumları açığa çıkarabileceğini söyledi.
Zveare, Toyota’nın hızla yama yaptığı güvenlik açığını “şimdiye kadar bulduğum en ciddi güvenlik açıklarından biri” olarak nitelendirdi.
true döndür;
İstismara giden yol, Toyota adına SHI International Corp tarafından oluşturulan Açısal, tek sayfalık bir uygulama olan GSPIMS’de JavaScript kodunu yamalamakla başladı.
Dün (6 Şubat) yayınlanan bir blog gönderisinde Zveare, “Geliştiriciler, CanActivate ve CanActivateChild’i uygulayarak Angular yollarına/sayfalarına erişimi kontrol ediyor” dedi. “Temel olarak, bir kullanıcı bir rotaya/sayfaya gitmeyi denediğinde, onu görüntülemelerine izin verilip verilmediğini belirler ve ardından doğru veya yanlış döndürürsünüz. Her ikisini de doğru olacak şekilde yamalayarak, genellikle bir Angular uygulamasının kilidini tamamen açabilirsiniz.
“Giriş sayfasına geri yönlendirmeyi önlemek için çıkış kodunun da kaldırılması gerekiyordu. Bu yamalar uygulandığında, uygulama yüklenir ve göz atılabilir.”
Daha önce Jacuzzi’nin SmartTub uygulamasını satın alan Zveare, ardından bir HTTP isteği yoluyla arka kapıdan yararlandı ve bu da bir JSON Web Jetonunu bir e-postayla teslim etti, ancak şifre sağlanmadı.
API, yüksek ayrıcalıklı kullanıcıların herhangi bir küresel kullanıcı olarak oturum açmasına izin veren bir “Farklı Davran” özelliği için kullanıldı.
Toyota, Kuzey Amerika’da tahmin edilebilir bir biçim kullandığından ([email protected]) geçerli bir e-posta bulmak için Toyota personelinin biraz Google’da arama yapması yeterliydi.
Toplam, küresel kontrol
Başlangıçta ‘Yönetim – Satın Alma’ rolüyle bir kullanıcı olarak oturum açan Zveare, kullanıcı/ayrıntılar API yanıtında bir rolePrivileges düğümü ve ardından bir kullanıcının yöneticilerini ayrıntılı olarak açıklayan bir findByEmail API uç noktası bulduktan sonra sonunda SysAdmin’e ulaştı.
Zveare, uygulamada görünen ek sekmelere dayanarak, “Sistem Yöneticisi JWT ile temelde tüm sistem üzerinde tam, küresel kontrole sahip olduğum” açıktı.
KAÇIRMAYIN Tesla, dahili ağları savunmasız bırakan CORS yanlış yapılandırmalarıyla mücadele ediyor
Bu nedenle, bir saldırgan verileri silebilir, değiştirebilir veya sızdırabilir ve hedef odaklı kimlik avı kampanyaları oluşturmak için verileri kötüye kullanabilir.
Zveare, tehdit aktörlerinin “sorunun keşfedilmesi ve düzeltilmesi durumunda erişimi sürdürmek için yükseltilmiş bir rolle kendi kullanıcı hesaplarını eklemiş olabileceğini” öne sürdü.
ödül önerisi
Araştırmacı, 3 Kasım 2022’de Toyota’yı arka kapı konusunda uyardı ve otomobil üreticisi, 23 Kasım’da sorunun çözüldüğünü doğrulamadan önce aynı gün yanıt verdi.
Toyota ve SHI, createJWT ve uç noktaların her durumda ‘HTTP durumu 400 – Kötü İstek’ döndürmesini sağlayarak sorunu düzeltti.
“Toyota’nın sorunun ciddiyetini anlamasına ve çabucak çözmesine sevindim” dedi. günlük yudum. “Toyota çok büyük bir şirket ve görünüşe göre güvenlik ekipleri, şirketin tüm yönlerindeki güvenlik açıklarını etkili bir şekilde ele alacak şekilde kurulmuş.
“Ödül ödemesi iyi olurdu ama bu durumda bir ödül teklif etmediler. Umarım gelecekte bunu değiştirmeyi düşünürler. Tanınma her zaman takdir edilir, ancak ödüller sunmak, en iyi yetenekleri çekmenin ve istismarları karaborsadan uzak tutmanın yoludur.
günlük yudum Toyota’yı yorum yapmaya davet etti – henüz yanıt yok, ancak bunu yaparlarsa ve ne zaman yaparlarsa makaleyi güncelleyeceğiz.
TAVSİYE EDİLEN Araştırmacı, güvenlik açığını ‘fındık için’ satmak yerine sıfır gün Lexmark RCE’yi bıraktı