Μια σοβαρή ευπάθεια στη διαδικτυακή πύλη του παγκόσμιου δικτύου διαχείρισης προμηθευτών της Toyota επέτρεψε σε έναν ερευνητή ασφάλειας να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες.
Το ζήτημα εντοπίστηκε από τον ερευνητή Eaton Zveare με έδρα τις ΗΠΑ στο Παγκόσμιο Σύστημα Διαχείρισης Πληροφοριών Προετοιμασίας Προμηθευτών της Toyota (GSPIMS), μια διαδικτυακή πύλη που παρέχει στους υπαλλήλους και τους προμηθευτές της Toyota πρόσβαση σε τρέχοντα έργα, έρευνες, πληροφορίες για αγορές και πολλά άλλα.
Το ζήτημα, λέει ο Zveare, σχετιζόταν με την εφαρμογή του ελέγχου ταυτότητας JWT (JSON Web Token) και θα μπορούσε να επιτρέψει την πρόσβαση σε οποιονδήποτε λογαριασμό σε οποιονδήποτε χρησιμοποιεί μια έγκυρη διεύθυνση email.
Ουσιαστικά, το JWT είναι ένα διακριτικό περιόδου λειτουργίας που δημιουργείται συνήθως κατά τη σύνδεση σε έναν ιστότοπο και το οποίο στη συνέχεια χρησιμοποιείται για τον έλεγχο ταυτότητας του χρήστη σε ασφαλείς ενότητες του ιστότοπου ή API.
Αυτό που ανακάλυψε ο ερευνητής ήταν ότι το GSPIMS της Toyota περιείχε μια λειτουργία που θα επέτρεπε στους χρήστες να δημιουργήσουν ένα JWT με βάση την παρεχόμενη διεύθυνση email, χωρίς να απαιτείται κωδικός πρόσβασης.
Με τις εταιρικές διευθύνσεις email της Toyota να είναι εύκολο να μαντέψουν – καθώς χρησιμοποιούν τη μορφή firstname.lastname@toyota.com – ο ερευνητής μπόρεσε να μαντέψει μια διεύθυνση email αναζητώντας στο Διαδίκτυο υπαλλήλους της Toyota που ενδέχεται να εμπλέκονται στην αλυσίδα εφοδιασμού.
Στη συνέχεια, ο Zveare χρησιμοποίησε αυτήν τη διεύθυνση email για να δημιουργήσει ένα έγκυρο JWT και το χρησιμοποίησε για πρόσβαση στο GSPIMS. Μετά από κάποια αναγνώριση στην πύλη, ανακάλυψε έναν λογαριασμό με δικαιώματα διαχειριστή συστήματος και χρησιμοποίησε την ίδια μέθοδο για πρόσβαση σε αυτόν.
Ο λογαριασμός διαχειριστή συστήματος, λέει ο ερευνητής, παρείχε πρόσβαση σε οτιδήποτε υπήρχε στην πύλη, συμπεριλαμβανομένων πληροφοριών για περισσότερους από 14.000 λογαριασμούς χρηστών, ελέγχου των ρόλων που θα μπορούσε να έχει κάθε λογαριασμός, λεπτομέρειες για όλα τα διαθέσιμα έργα, έρευνες και διάφορα διαβαθμισμένα έγγραφα.
Σύμφωνα με τον ερευνητή, το GSPIMS παρέχει επίσης στον διαχειριστή του συστήματος την επιλογή να συνδεθεί ως οποιοσδήποτε από τους διαθέσιμους 14.000 χρήστες, για να επιβλέπει τις δραστηριότητές τους. Η λειτουργία που δημιουργεί το JWT με βάση τη διεύθυνση email προφανώς εφαρμόστηκε για να ενεργοποιήσει αυτήν την επιλογή, αλλά δημιούργησε επίσης μια κερκόπορτα στο δίκτυο.
Ένας εισβολέας με πρόσβαση διαχειριστή συστήματος στο GSPIMS θα μπορούσε να έχει δημιουργήσει έναν αδίστακτο λογαριασμό για δημιουργία προβλημάτων, , να έχει διεισδύσει σε όλα τα διαθέσιμα δεδομένα, να παραποιήσει ή να διαγράψει τα δεδομένα και να ανακτήσει το εταιρικό email και τους ρόλους και των 14.000 λογαριασμών χρηστών για να τους στοχεύσει σε επιθέσεις phishing.
Ο ερευνητής ανέφερε την ευπάθεια στην Toyota στις 3 Νοεμβρίου 2022. Η αυτοκινητοβιομηχανία διόρθωσε το πρόβλημα λίγο αργότερα.