安全研究员发现丰田全球供应商管理系统后门,可能暴露超过14000家供应商机密信息

admin 2023年2月9日09:16:26评论37 views字数 908阅读3分1秒阅读模式
2月6日,一名安全研究员发布了一篇博客,声称其能够入侵丰田的全球供应商准备信息管理系统(GSPIMS,丰田的Web应用程序,供员工和供应商远程登录并管理该公司的全球供应链)。

这位网名为EatonWorks的安全研究员写道,他发现了丰田系统中的一个后门,只需要知道用户的电子邮件就可以访问现有用户帐户。在入侵测试中,研究人员发现他能够自由访问超过14000企业用户的内部项目、供应商信息、机密文件等。

安全研究员发现丰田全球供应商管理系统后门,可能暴露超过14000家供应商机密信息

安全研究员在这过程中发现,GSPIMS应用程序根据用户的电子邮件地址生成一个JSON Web令牌(JWT),用于无密码登录。这意味着若是能猜到丰田员工的有效电子邮件地址,就有办法生成有效的JWT。在那之后EatonWorks又通过利用系统API中的信息泄露漏洞升级到系统管理员帐户。

安全研究员发现丰田全球供应商管理系统后门,可能暴露超过14000家供应商机密信息

在文章末尾,安全研究员总结了几条这个后门可能会导致的严重后果:

添加账户以在修复问题时保留访问权限;

下载并泄露数据;

删除或修改数据以破坏丰田的全球运营;

利用窃取得到的机密信息,对丰田供应商进行高针对性的网络钓鱼活动。


无法确定在EatonWorks报告此问题之前,是否已经有人成功访问丰田GSPIMS系统并复制了数据,但至少目前尚未出现相关数据泄露的报道。

安全研究员EatonWorks表示这些问题已于2022年11月3日向丰田披露,这家全球知名的日本汽车制造商确认它们已于2022年11月23日得到修复。EatonWorks在行业标准的90天披露期限结束后,发布了关于此问题的详细报告。

该安全研究员在博客中还特别称赞了丰田,说丰田是他所报告过安全问题的所有厂商中,响应最高效的,唯一感到遗憾的是,丰田没有给予他任何的金钱奖励。


编辑:左右里

资讯来源:eaton-works

转载请注明出处和本文链接


每日涨知识

寄存器地址(register address)

直接安装在 CPU 上的非常小的存储器位置。当 CPU 需要从其中一个寄存器获得信息来完成运算任务时,可以只使用寄存器地址来访问信息。






安全研究员发现丰田全球供应商管理系统后门,可能暴露超过14000家供应商机密信息
安全研究员发现丰田全球供应商管理系统后门,可能暴露超过14000家供应商机密信息

球分享

安全研究员发现丰田全球供应商管理系统后门,可能暴露超过14000家供应商机密信息

球点赞

安全研究员发现丰田全球供应商管理系统后门,可能暴露超过14000家供应商机密信息

球在看



安全研究员发现丰田全球供应商管理系统后门,可能暴露超过14000家供应商机密信息
“阅读原文一起来充电吧!

原文始发于微信公众号(看雪学苑):安全研究员发现丰田全球供应商管理系统后门,可能暴露超过14000家供应商机密信息

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月9日09:16:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全研究员发现丰田全球供应商管理系统后门,可能暴露超过14000家供应商机密信息https://cn-sec.com/archives/1543511.html

发表评论

匿名网友 填写信息