0
0
Uma vulnerabilidade grave no portal da rede global de gerenciamento de fornecedores da Toyota permitiu que um pesquisador de segurança obtivesse acesso a informações confidenciais.
O problema foi identificado pelo pesquisador norte-americano Eaton Zveare no Sistema Global de Gerenciamento de Informações de Preparação de Fornecedores da Toyota (GSPIMS), um portal da Web que fornece aos funcionários e fornecedores da Toyota acesso a projetos em andamento, pesquisas, informações sobre compras e muito mais.
O problema, diz Zveare, estava relacionado à implementação da autenticação JWT (JSON Web Token) e poderia permitir o acesso a qualquer conta para qualquer pessoa usando um endereço de e-mail válido.
Essencialmente, o JWT é um token de sessão que normalmente é gerado ao fazer login em um site e que é usado para autenticar o usuário para proteger seções do site ou APIs.
O que o pesquisador descobriu foi que o GSPIMS da Toyota continha uma função que permitia aos usuários gerar um JWT com base no endereço de e-mail fornecido, sem exigir uma senha.
Com endereços de e-mail corporativos da Toyota fáceis de adivinhar – já que eles estão usando o formato nome.sobrenome@toyota.com – o pesquisador conseguiu adivinhar um endereço de e-mail pesquisando na Internet por funcionários da Toyota que possam estar envolvidos na cadeia de suprimentos.
Em seguida, Zveare usou esse endereço de e-mail para gerar um JWT válido e o usou para acessar o GSPIMS . Após algum reconhecimento no portal, ele descobriu uma conta com privilégios de administrador do sistema e usou o mesmo método para acessá-la.
A conta de administrador do sistema, diz o pesquisador, dava acesso a tudo no portal, incluindo informações sobre mais de 14.000 contas de usuários, controle sobre as funções que cada conta poderia ter, detalhes sobre todos os projetos disponíveis, pesquisas e vários documentos classificados.
Segundo o pesquisador, o GSPIMS também oferece ao administrador do sistema a opção de se logar como qualquer um dos 14.000 usuários disponíveis, para supervisionar suas atividades. A função que gera o JWT com base no endereço de e-mail aparentemente foi implementada para habilitar essa opção, mas também criou um backdoor na rede.
Um invasor com acesso de administrador do sistema ao GSPIMS pode ter criado uma conta não autorizada para persistência, exfiltrado todos os dados disponíveis, adulterado ou excluído os dados e obtido o e-mail corporativo e as funções de todas as 14.000 contas de usuário para direcioná-los para ataques de phishing.
O pesquisador relatou a vulnerabilidade à Toyota em 3 de novembro de 2022. A montadora corrigiu o problema logo depois.
FONTE: SECURITYWEEK