研究人员入侵了丰田供应商管理网络

安全研究员Eaton Zveare利用丰田全球供应商准备信息管理系统（GSPIMS）中的一个漏洞，实现了对丰田全球供应商管理网络的系统管理员访问权限。GSPIMS 门户网站允许员工和供应商访问正在进行的项目、调查和采购信息。

JSON Web 令牌 （JWT） 是一种会话令牌，表示用户在网站上的有效身份验证会话。用户通常可以在使用其电子邮件和密码登录网站后获得 JWT对GSPIMS应用程序的分析使研究人员发现了一个名为“GenerataJWT”的功能，该函数允许根据提供的有效电子邮件地址生成JWT，而无需提供任何密码。

研究人员指出，丰田公司的电子邮件很容易猜到，因为在北美使用可预测的格式（[email protected]）。专家很容易通过谷歌查询找到丰田员工，他还专注于对在 GSPIMS 系统中注册的员工的研究。一旦发现该员工，Zveare就能够创建一个返回有效JWT的创建JWT HTTP请求。

专家使用 JWT 访问 GSPIMS 门户，在获得对平台的访问权限后，他发现了一个具有系统管理员权限的帐户。“检查经理的经理等，可以很容易地找到对系统具有更高访问权限的帐户。最终，我找到了北美区域管理员。这使我可以访问“用户管理”部分。然后，我又翻了一番，发现用户的访问权限更高，例如供应商管理员、全局管理员，最后是系统管理员。“在 GSPIMS 设置中，显示的标签取决于您的角色。有适用于区域管理员的区域设置、适用于全局管理员的全局设置和适用于系统管理员的系统管理员设置。系统管理员可以访问所有选项卡。

研究人员能够获得对系统管理员帐户的访问权限，该帐户使他能够完全访问系统。专家获得了14，000多个用户帐户的信息，以及与所有可用项目，调查和机密文件有关的信息。

“我在丰田GSPIMS网站/应用程序中发现了本质上的后门登录机制，它允许我以任何丰田公司用户或供应商的身份登录，只需知道他们的电子邮件。我最终发现了系统管理员的电子邮件，并能够登录他们的帐户。一旦完成，我就可以完全控制整个全球系统，“专家总结道。

Zveare 于 2022年  11月 3 日向丰田报告了该漏洞，该公司确认该漏洞已于 2022 年 11月 23 日修复。

原文始发于微信公众号（黑猫安全）：研究人员入侵了丰田供应商管理网络