ثغره في شبكة إداره الموردين لشركة Toyota العالمية

News
ثغره في شبكة إداره الموردين لشركة Toyota والوصول لمعلومات حساسة للموردين والمستخدمين
Ahmed Shibl
Feb. 10, 2023, 6 p.m.
ahmedshipl
ثغره في شبكة إداره الموردين لشركة Toyota العالمية

استطاع الباحث الأمني Eaton Zveare اختراق تطبيق الويب لشركه TOYOTA و الوصول الي معلومات حساسه عن الموردين و المستخدمين 

عن طريق  Global Supplier Preparation Information Management System (GSPIMS) كـ Admin عن طريق ثغره في الـ Login Mechanism.

Breach using (Return true;)

قال Eaton علي المدونة الشخصيه له 

"Developers control access to Angular routes/pages by implementing CanActivate and CanActivateChild. Basically, when a user attempts to navigate to a route/page, you would determine if they are allowed to view it, and then return true or false. By patching both to return true, you can usually fully unlock an Angular app"

اي ان المطورين يمكنهم التحكم في الوصول الي صفحات الـ Angular application عن طريق تنفيذ (CanActivate و CanActivateChild)

عند محاوله المستخدم الوصول الي احدي صفحات الـتطبيق يمكن تحديد اذا ما كان مسموح له بعرض الصفحه او لا و بعدها ارجاع True او False.

و عند تعديلهم لـ Return true فقد تمكن من التحكم بالكامل في التطبيق 

ولكنه اضاف ايضا:

"The logout code also needed to be removed to prevent a redirect back to the login page. With those patches applied, the app loads and can be browsed."

انه ايضا يجب حذف الـ Code الخاص بصفحه تسجيل الخروج لمنع ان يتم اعادته لصفحه تسجيل الدخول مره اخري و بعد القيام بتلك التعديلات تمكن من تخطي تسجيل الدخول و الوصول الي الـ Application.

ولكن عند محاولته الحصول علي اي معلومات كان يحصل علي رد من التطبيق HTTP status 401 – Unauthorized لنقص بيانات الـ Login Cookies لتأمين Toyota الـ API الخاص بهم بشكل ممتاز.

JSON Web Token 

و قبل ان يتوقف Eaton عن ما بدأ به بعد تخطيه لصفحه تسجيل الدخول قام بالبحث في الـ Code الخاص بالتطبيق ليجد الـ generateJWT function وقد قام Eaton مسبقا بتنفيذ عمليه مشابهه للحصول علي صلاحيات الـ Admin عن طريق نفس الـ Function المستخدمه في تطبيق Toyota في  Jacuzzi SmartTub و تسمح createJWT في تلك الحالة تسجيل الدخول بصلاحيات عاليه كأي مستخدم عادي.

و الحصول علي Email فعال لن يطلب الكثير من البحث و جمع المعلومات حيث تستخدم Toyota شكل ثابت في البريد الالكتروني الخاص بها في شمال امريكا ([email protected]).

بعد تنفيذ بعض الخطوات قام Eaton بالدخول و الوصول الي المعلومات بصلاحيات الـ Admin علي التطبيق و تمكن من الوصول الي بيانات لاكثر من 3000 مورد و 14000 مستخدم حول العالم.


Research Vulnerabilites Automotive Cyber Security