Vulnerando: portal de proveedores de Toyota con información sobre 14,000 socios

Iniciado por Dragora, Febrero 07, 2023, 06:29:31 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


El Sistema de gestión de información de preparación de proveedores globales (GSPIMS) de Toyota fue violado por un investigador de seguridad que informó responsablemente el problema a la empresa.

GSPIMS es la aplicación web del fabricante de automóviles que permite a los empleados y proveedores iniciar sesión de forma remota y administrar la cadena de suministro global de la empresa.

El investigador de seguridad, que publica bajo el seudónimo de EatonWorks, descubrió una "puerta trasera" en el sistema de Toyota que permitía a cualquier persona acceder a una cuenta de usuario existente siempre que supiera su correo electrónico.

En una intrusión de prueba, el investigador descubrió que podía acceder libremente a miles de documentos confidenciales, proyectos internos, información de proveedores y más.

Los problemas se informaron de manera responsable a Toyota el 3 de noviembre de 2022, y el fabricante de automóviles japonés confirmó que se habían solucionado el 23 de noviembre de 2022.

EatonWorks publicó un artículo detallado sobre los descubrimientos hoy después de que transcurriera el proceso de divulgación de 90 días.

Toyota no compensó al investigador por revelar responsablemente las vulnerabilidades descubiertas.

Rompiendo toyota

La aplicación GSPIMS de Toyota se basa en el marco JavaScript angular y utiliza rutas y funciones específicas para determinar qué usuarios pueden acceder a qué páginas.

El investigador descubrió que al modificar el JavaScript de estas funciones para que devolvieran valores "verdaderos", podía desbloquear el acceso a la aplicación.


Parcheando las funciones de Angular (EatonWorks)

Sin embargo, aunque la aplicación ya estaba cargada, no mostraría ningún dato ya que el investigador no estaba autenticado en la aplicación.

El analista pronto descubrió que el servicio estaba generando un token web JSON (JWT) para iniciar sesión sin contraseña en función de la dirección de correo electrónico del usuario. Por lo tanto, si alguien pudiera adivinar una dirección de correo electrónico válida de un empleado de Toyota, podría generar un JWT válido.


Adquirir un JWT válido (EatonWorks)

Simplemente buscar en Google a los empleados de Toyota o ejecutar OSINT en LinkedIn sería suficiente para encontrar o formular una dirección de correo electrónico, que es el camino que tomó el investigador para la intrusión, encontrando una cuenta de administrador regional.

A partir de ahí, EatonWorks escaló a una cuenta de administrador del sistema al explotar una falla de divulgación de información en la API del sistema. Después de eso, el investigador simplemente cambió a una cuenta con más privilegios buscando y usando la dirección de correo electrónico de un administrador de sistemas.

Acceso completo a documentos clasificados
Un administrador del sistema en GSPIMS puede acceder a información confidencial como documentos clasificados, cronogramas de proyectos, clasificaciones de proveedores y datos de usuario para 14,000 usuarios.

Para cada uno de ellos, el administrador puede acceder a sus proyectos, tareas y encuestas, cambiar los detalles del usuario, modificar o eliminar datos, agregar usuarios de puerta trasera redundantes o sentar las bases para una campaña de phishing dirigida.


Documentos internos de Toyota (EatonWorks)

El aspecto más desagradable de este ataque es que un actor malintencionado podría haber accedido silenciosamente al sistema de Toyota y luego haber copiado los datos sin modificar nada, manteniendo la probabilidad de descubrimiento muy baja.

Es imposible determinar si algo así ya sucedió, pero no ha habido fugas masivas de datos de Toyota, por lo que se supone que EatonWorks fue el primero en encontrar la falla de omisión de inicio de sesión.

Esta divulgación se produce después de una serie de infracciones, fugas de datos y otras vulnerabilidades descubiertas durante el año pasado.

En febrero de 2022, el fabricante de automóviles japonés anunció que se vio obligado a detener las operaciones de producción de automóviles debido a un ciberataque a uno de sus proveedores, Kojima Industries.

En octubre de 2022, los clientes de Toyota sufrieron una violación de datos después de que un contratista que desarrollaba Toyota T-Connect, la aplicación de conectividad oficial de la marca, dejara expuesto públicamente un repositorio de GitHub que contenía datos de clientes .

En enero de 2023, un investigador de seguridad publicó los detalles de múltiples fallas de seguridad de API que afectaron a varios fabricantes de automóviles, incluido Toyota, lo que podría exponer los detalles del propietario.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta