Etik bir bilgisayar korsanı, Toyota çalışanları ve tedarikçileri tarafından otomobil üreticisinin küresel tedarik zinciriyle ilgili görevleri koordine etmek için kullanılan bir Web uygulamasında bir arka kapı buldu ve yalnızca kullanıcılarından birinin e-posta adresini bilerek küresel sistemin kontrolünü ele geçirdi.
Güvenlik araştırmacısı Eaton Zveare, bu hafta Ekim ayında arka kapı oturum açma mekanizmasını bulduğunu açıkladı. Toyota Global Tedarikçi Hazırlama Bilgi Yönetim Sistemi (GSPIMS) Web portalı, Toyota çalışanları ve tedarikçileri tarafından çeşitli iş faaliyetlerini koordine etmek için kullanılan bir site. Arka kapı, herhangi bir kurumsal kullanıcı veya tedarikçi olarak oturum açmasına izin verdi.
Oradan bir sistem yöneticisi e-postası buldu ve hesabına giriş yaptı, böylece “tüm küresel sistem üzerinde tam kontrol” elde etti. hack hakkında bir blog yazısında.
Yönetici olarak görev yaptıktan sonra Zveare, Michelin, Continental, Stanley Black & Decker ve Harman gibi Toyota dış ortaklarına ve tedarikçilerine ait olanlar da dahil olmak üzere dahili Toyota projelerine, belgelerine ve kullanıcı hesaplarına “tam erişimi” olduğunu söyledi. .
Sonuç olarak, araştırmacı Toyota’nın 14.000’den fazla kullanıcıdan oluşan küresel kullanıcı dizinine okuma/yazma erişimi elde etti. Zveare ayrıca kurumsal kullanıcı hesap detaylarına, gizli belgelere, projelere, tedarikçi sıralamalarına/yorumlarına ve bu kullanıcılarla ilgili diğer hassas verilere de erişebileceğini söyledi.
Önemli Tedarik Zinciri Tehdidi
Saldırı, bir kurumsal sistemdeki basit, gözden kaçan bir kusurun, bir saldırganın bir şirketin tedarik zincirinin hassas verilerine ve kurumsal hesaplarına istemeden nasıl erişebileceğini bir kez daha gösteriyor. Güvenlik uzmanlarına göre bu durum, yalnızca söz konusu kuruluşu değil, tüm ortak ekosistemini etkileyen kötü amaçlı etkinliklerin önünü açıyor.
Gerçekten de, bir tehdit aktörü sorunu kendisinden önce keşfetmiş olsaydı, “sonuçları ağır olabilirdi”, diye gözlemledi Zveare.
Sorun, saldırganların, sorunun keşfedilmesi ve düzeltilmesi durumunda erişimi sürdürmek için yükseltilmiş bir role sahip kendi kullanıcı hesaplarını oluşturmalarına veya erişebildikleri tüm verileri indirip sızdırmalarına izin verebilirdi, dedi.
Zveare ayrıca, küresel Toyota operasyonlarını kesintiye uğratacak şekilde verileri silmiş veya değiştirmiş olabilirler veya “diğer Toyota sistemlerini saldırılara maruz bırakabilecek gerçek kurumsal oturum açma ayrıntılarını” yakalamaya çalışmak için oldukça hedefli bir kimlik avı kampanyası hazırlamış olabilirler.
Araştırmacı sorunu 3 Kasım’da Toyota’ya bildirdi ve şirket 20 gün sonra sorunun çözüldüğünü bildirdi – Zveare’nin “etkilendiği” hızlı bir yanıt.
“Şimdiye kadar çeşitli satıcılara bildirdiğim tüm güvenlik sorunları arasında Toyota’nın yanıtı en hızlı ve en etkili olanıydı” dedi.
Zveare, araştırmasını Toyota’nın Japonya’daki 14 fabrikasının 28 hattının tamamının üretimini durdurmaya zorlayan büyük bir tedarik zinciri ihlali yaşamasından yaklaşık bir yıl sonra açıkladı. 22 Şubat’ta şirket, tedarikçi Kojima Industries’de tam zamanında üretim kontrol sisteminde sorunlara yol açan bir “sistem arızasına” neden olan bir siber saldırı bildirdi.
Bir güvenlik uzmanına göre, Toyota için son ihlal etik bir ihlaldi ve Zveare’nin sorumlu ifşası sayesinde şirket, şirket veya ortaklarının işi üzerinde herhangi bir etki olmadan önce sorunu düzeltebildi.
“İhlal edenlerin hepsi bu davadaki kadar sorumlu değil!” veri güvenliği uzmanlarının CTO’su Henning Horst’u gözlemliyor. konfor AG.
Nasıl Yapıldı?
Zveare, gönderisinde arka kapıyı bulma yolculuğunun tamamen basit olmadığını kabul etti. Başlangıçta, söylediği portalın tarafından oluşturulan Açısal tek sayfalık bir uygulama olup olmadığından bile emin değildi. SHI International Corp-ABD Toyota adına – şirket için çok önemli bir varlıktı.
Sisteme erişmek için önce, bir kullanıcıdan hangi Toyota işletmesine bağlı olduklarını belirlemek için bir düğmeyi tıklamasını isteyen bir ilk oturum açma ekranının JavaScript kodunu düzeltmesi gerekiyordu. Daha önce yaşanan bir olayda Jacuzzi SmartTub uygulamasını hacklediuygun şekilde güvenli olmayan bir API nedeniyle ağa tam erişim elde etmek için gereken tek şey bu eylemdi.
Ancak, GSPIMS API’sinin güvenli olduğu görüldü ve bu da Zveare’e, başka nelerin işe yarayabileceğini görmek için uygulama kodunu daha ayrıntılı inceleme konusunda ilham verdi. Sonunda bulduğu şey, JSON Web Belirteçlerinin – veya kullanıcıların web sitesindeki geçerli kimliği doğrulanmış oturumlarını temsil eden oturum simgelerinin – parola gerektirmeden bir kullanıcının e-postasına göre oluşturulduğuydu.
Zveare, Toyota tedarik zinciri kullanıcıları için Google’da arama yaptı ve GSPIMS portalının kullanıcısı olacağını düşündüğü birinin e-postasını formüle etmek için eğitimli bir tahminde bulundu. “Sonra ateş ettim oluşturJWT HTTP isteği ve geçerli bir JWT döndürdü!” diye yazdı.
Zveare, keşfinin ona, “muhtemelen iki faktörlü kimlik doğrulama seçeneklerini de uygulayan çeşitli kurumsal giriş akışlarını tamamen atlayarak” GSPIMS’de kayıtlı herhangi bir Toyota çalışanı veya tedarikçisi için geçerli bir JWT oluşturma yeteneği verdiğini yazdı.
Sisteme e-postasıyla eriştiği kullanıcının sistem yöneticisi ayrıcalıklarına sahip olmamasına rağmen, sonunda GSPIMS içinde arama yaparak sahip olan birinin e-postasını buldu ve bunu kullanarak bir yönetici olarak sistemin tam kontrolünü ele geçirdi.
Büyük Resim Güvenlik Yaklaşımı
Güvenlik uzmanları, Zveare’nin bulduğu sorunu engellemek için işletmelerin yapması gereken işler olduğunu söylüyor. Yeni başlayanlar için, güvenlik yöneticileri güvenliğe daha bütüncül bir yaklaşım benimsemeli ve genel güvenlik duruşlarının – veya eksikliğinin – iş yaptıkları tüm ortaklar ve müşteriler üzerinde yaratabileceği daha geniş etkiyi fark etmelidir.
Siber güvenlik şirketi Coro’nun kurucu ortağı Dror Liwer, Dark Reading’e yaptığı bir e-posta açıklamasında, “Kuruluşlar için ‘iç sistemler’ olarak algılananlar artık öyle değil” dedi. “İnternet üzerinden iş birliği yapan ortaklar, tedarikçiler ve çalışanlarla – tüm sistemler harici olarak düşünülmeli ve bu nedenle kötü niyetli izinsiz girişlere karşı korunmalıdır.”
BlueVoyant’ın harici siber değerlendirmeler direktörü Lorri Janssen-Anessi’ye göre, bu büyük resim perspektifini ve güvenlik stratejisini geliştirmek o kadar kolay değil, çünkü çoğu kuruluş zaten kendi şirketlerinin risklerini yönetmekle meşgul.
Bununla birlikte, Zveare’nin Toyota’nın küresel tedarik zincirine hizmet eden bir sisteme erişmesinin ne kadar kolay olduğu düşünüldüğünde, şirketlerin ağlarına dokunan herhangi bir üçüncü taraf genelinde güvenliği sağlamak için bu riskin üstesinden gelmeleri gerektiğini söylüyor.
Janssen-Anessi, “Bugünün kuruluşlarının Toyota’nın tedarikçi yönetimi ağındaki bildirilen güvenlik açığından çıkarması gereken şey, kendi satıcı ve tedarikçi siber güvenliklerine bakmaları için kesin bir hatırlatmadır” diyor.
Göz önünde bulundurulması gereken temel önlemler arasında, erişim denetimi ve kullanıcı hesabı ayrıcalıklarının desteklenmesi, bunların yalnızca çalışanlara ve üçüncü taraflara kendi rolleri için gerekli olan verilere erişim sağlamalarının sağlanması yer alıyor. Janssen-Anessi, “Bu, bir ihlal durumunda hangi verilere erişilebileceğini kontrol etmeye yardımcı oluyor” diyor.
Aslında, Comforte AG’den Horst’a göre, genel olarak güvenliğe yönelik daha veri merkezli bir yaklaşım, işletmelerin Zveare’nin gösterdiği bir senaryodan kaçınmasına veya hafifletmesine yardımcı olabilir. Kuruluşlara, verileri kurumsal veri ekosistemlerine girer girmez korumanın yollarını bulmalarını, böylece “verilerin etrafındaki çevreler ve sınırlar yerine verilerin kendisini” korumalarını tavsiye ediyor.