丰田封堵全球供应商管理网络后门

Adam Bannister

2023年2月7日 17:34 UTC
更新： 2023年2月14日 11:15 UTC

研究背景

一位安全研究员声称成功入侵了丰田的供应商管理网络，能够访问全球约3000家供应商和14000名用户的敏感数据。

Eaton Zveare攻破了一个被丰田员工和供应商用于协调项目的Web应用程序，其中包含零件详情、调查和采购信息。在该系统中发现的知名合作伙伴和供应商包括米其林、大陆集团和史丹利百得。

漏洞详情

研究员最终通过登录机制中的后门，以系统管理员身份访问了这家日本汽车制造商的全球供应商准备信息管理系统（GSPIMS）。

Zveare表示，恶意入侵可能暴露丰田员工对供应商的评论，以及按风险和其他变量划分的供应商排名。

Zveare将这个被丰田迅速修补的安全漏洞描述为"我迄今为止发现的最严重漏洞之一"。

技术利用路径

利用路径始于修补GSPIMS中的JavaScript代码，这是一个Angular单页面应用程序。

“开发者通过实现CanActivate和CanActivateChild来控制对Angular路由/页面的访问，“Zveare在2月6日发布的博客文章中说。“基本上，当用户尝试导航到某个路由/页面时，你会确定是否允许他们查看，然后返回true或false。通过将两者修补为返回true，通常可以完全解锁Angular应用。”

他补充道：“还需要移除注销代码以防止重定向回登录页面。应用这些补丁后，应用程序加载并可以浏览。”

Zveare之前曾攻破过Jacuzzi的SmartTub应用程序，随后他通过createJWT HTTP请求利用后门，该请求返回了一个包含电子邮件但没有密码的JSON Web令牌。

createJWT API用于"充当"功能，允许高权限用户以任何全球用户身份登录。

只需对丰田人员进行简单的谷歌搜索即可找到有效的电子邮件地址，因为丰田在北美使用了可预测的格式（firstname.lastname@toyota.com）。

全局控制权限

最初以具有"管理-采购"角色的用户身份登录后，Zveare在user/details API响应中找到rolePrivileges节点，然后找到详细说明用户管理者的findByEmail API端点，最终获得了系统管理员权限。

根据应用程序中出现的额外选项卡，很明显"使用系统管理员JWT，我基本上拥有对整个系统的完全全局控制权”，Zveare说。

因此，攻击者可能删除、修改或泄露数据，并滥用这些数据制作鱼叉式网络钓鱼活动。

Zveare建议，威胁行为者还可能"添加具有提升角色的自己的用户帐户，以便在问题被发现和修复时保留访问权限”。

漏洞修复与响应

研究员于2022年11月3日向丰田发出后门警报，丰田当天作出回应，随后在11月23日确认问题已修复。

丰田通过使createJWT和findByEmail端点在所有情况下都返回"HTTP状态400 - 错误请求"来修复该问题。

“我很高兴丰田认识到问题的严重性并迅速修复了它，“Zveare告诉The Daily Swig。“丰田是一家大型企业，似乎他们的安全团队能够有效解决公司各个方面的漏洞。”

“赏金支付会很好，但他们在这种情况下没有提供。我希望他们将来考虑改变这一点。认可总是受到赞赏，但提供奖励是吸引顶尖人才并使漏洞利用远离黑市的方式。”

声明更新

本文于2月13日更新，删除了关于SHI International创建应用程序（GSPIMS）并帮助修补所引用漏洞的声明，以回应SHI International的以下声明：“SHI International与丰田汽车公司有贸易关系，提供软件和硬件。作为该关系的一部分，SHI International向丰田转售软件许可证。但SHI没有也从未为丰田创建任何应用程序，SHI International也不负责丰田IT基础设施任何部分的部署、管理或配置。”