研究人员发现日本汽车大厂丰田(Toyota)的供应商管理网站存在一个单用电子邮件信箱,就能冒名访问的重大漏洞。丰田汽车已经完成漏洞修补。
美国研究人员Eaton Zveare是在丰田的全球供应商备料资讯管理系统(Global Supplier Preparation Information Management System,GSPIMS)上发现这项漏洞。GSPIMS(下图)是北美企业SHI为丰田开发的Angular-based单页式应用程序。漏洞出在GSPIMS对用户登录验证的JWT实例。JWT一般在用户登录网站时输入电子邮件和密码后,网站派发给用户的凭证,用户提供JWT给网站或API以证明自己的身份。
图片来源/Eaton Zveare
研究人员发现GSPIMS一项名为“Act As”的功能中,只要提供电子邮件,不需密码就能触发回传JWT。意味着他只要输入有效的丰田员工电子邮件即能取得JWT。同时,研究人员发现丰田汽车北美员工的电子邮件格式具备可预测性,是以“名.姓@toyota.com”为格式。他稍微网络搜索一下,就得到可能具有GSPIMS系统访问权限员工的电子邮件,并以此获得GSPIMS的有效JWT,完全跳过丰田汽车的公司登录验证流程。他冒充该员工成功登录GSPIMS,并通过搜索联系人功能找到系统管理员。由此研究人员取得系统管理员JWT,成功登录及控制整个GSPIMS系统。
研究人员最后得以访问涵盖北美、欧洲、亚洲及日本员工超过1.4万用户,并且访问500多个网页,包括账号资料、机密文件、项目、供应商层级等资讯。
连同这项漏洞,Zveare于去年11月初通报丰田汽车4项漏洞,后者及SHI于11月底证实已经修补。