由于允许为任何帐户重置密码的 API 缺陷,本田的电力设备、船舶、草坪和花园电子商务平台容易受到任何人未经授权的访问。
本田是一家日本汽车、摩托车和动力设备制造商。在这种情况下,只有后者受到影响,因此本田汽车或摩托车的车主不受影响。
本田系统中的安全漏洞是由安全研究员 Eaton Zveare 发现的,几个月前他利用类似的漏洞入侵了丰田的供应商门户网站。
对于本田,Eaton Works 利用密码重置 API 来重置重要帐户的密码,然后在公司网络上享受不受限制的管理员级别数据访问。
“损坏/丢失的访问控制使得访问平台上的所有数据成为可能,即使是作为测试帐户登录时也是如此,”研究人员解释道。
因此,以下信息暴露给安全研究人员,并可能暴露给利用相同漏洞的威胁参与者:
- 从 2016 年 8 月到 2023 年 3 月,所有经销商的 21,393 份客户订单——包括客户姓名、地址、电话号码和订购的物品。
- 1,570 个经销商网站(其中 1,091 个处于活动状态)。可以修改这些站点中的任何一个。
- 3,588 个经销商用户/帐户(包括名字和姓氏、电子邮件地址)。可以更改任何这些用户的密码。
- 1,090 个经销商电子邮件(包括名字和姓氏)。
- 11,034 封客户电子邮件(包括名字和姓氏)。
- 潜在的:提供它们的经销商的 Stripe、PayPal 和 Authorize.net 私钥。
- 内部财务报告。
上述数据可用于发起网络钓鱼活动、社会工程攻击,或在黑客论坛和暗网市场上出售。
此外,通过访问经销商站点,攻击者可以植入信用卡浏览器或其他恶意 JavaScript 代码段。
访问管理面板
Zveare 解释说,API 缺陷存在于本田的电子商务平台中,该平台将“powerdealer.honda.com”子域分配给注册经销商/经销商。
研究人员发现,本田网站 Power Equipment Tech Express (PETE) 上的密码重置 API 处理重置请求时不需要令牌或以前的密码,只需要一个有效的电子邮件。
虽然此漏洞不存在于电子商务子域登录门户中,但通过 PETE 站点切换的凭据仍然适用于它们,因此任何人都可以通过这种简单的攻击访问内部经销商数据。
唯一缺少的部分是拥有一个属于经销商的有效电子邮件地址,研究人员从 YouTube 视频中获得了该地址,该视频使用测试帐户演示了经销商仪表板。
下一步是访问真实交易商的信息,而不是测试账户。但是,最好在不中断其操作且不必重置数百个帐户的密码的情况下这样做。
研究人员找到的解决方案是利用第二个漏洞,即平台中用户 ID 的顺序分配和缺乏访问保护。
这使得可以通过将用户 ID 递增 1 来任意访问所有本田经销商的数据面板,直到没有任何其他结果。
“只需增加该 ID,我就可以访问每个经销商的数据。底层 JavaScript 代码采用该 ID 并在 API 调用中使用它来获取数据并将其显示在页面上。值得庆幸的是,这一发现使得重新设置密码的需求变得没有意义” 兹瓦雷说。
值得注意的是,本田的注册经销商可能会利用上述漏洞访问其他经销商的面板,进而访问他们的订单、客户详细信息等。
攻击的最后一步是访问本田的管理面板,这是该公司电子商务平台的中央控制点。
研究人员通过修改 HTTP 响应来访问它,使其看起来像管理员,从而使他能够无限制地访问本田经销商网站平台。
上述情况已于 2023 年 3 月 16 日报告给本田,到 2023 年 4 月 3 日,这家日本公司确认所有问题都已得到解决。
由于没有漏洞赏金计划,本田没有奖励 Zveare 负责任的报告,这与丰田案的结果相同。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 本田API漏洞暴露了客户数据、经销商面板、内部文档
