丰田全球供应商管理网络后门漏洞事件
安全研究员Eaton Zveare披露,他成功入侵了丰田汽车的全球供应商准备信息管理系统(GSPIMS),通过登录机制的后门获取了系统管理员权限。该系统用于丰田员工与全球约3000家供应商协调项目,包含零部件、调查和采购等敏感数据,涉及米其林、大陆集团等知名供应商。
技术漏洞细节
-
Angular应用路由绕过
- 研究员通过修改
CanActivate和CanActivateChild返回值(强制返回true)绕过前端路由权限控制 - 移除登出代码以防止被重定向回登录页面
- 研究员通过修改
-
JWT令牌滥用
- 利用
createJWTAPI接口(原用于高权限用户模拟登录功能)生成有效令牌 - 仅需猜测丰田北美邮箱格式(如firstname.lastname@toyota.com)即可触发
- 利用
-
权限提升路径
- 初始获取"采购管理"角色权限
- 通过
user/detailsAPI发现rolePrivileges节点 - 利用
findByEmail端点获取用户管理层信息,最终升级至系统管理员
潜在攻击影响
- 查看/修改供应商风险评估数据
- 发起精准钓鱼攻击
- 植入高权限持久化账户
- 数据批量泄露或篡改
丰田在收到报告当日(2022年11月3日)即响应,并于11月23日完成修复,措施包括:
- 将
createJWT和findByEmail端点统一返回HTTP 400状态码 - 未提供漏洞赏金,研究员建议建立奖励机制吸引白帽黑客
更新说明:根据SHI国际声明,该公司仅作为软件经销商与丰田合作,未参与GSPIMS系统开发或漏洞修复。