豐田供應商系統漏洞  駭客獲取管理權限

編譯／鄭智懷

化名Eaton Works的白帽駭客在本周發表有關汽車大廠豐田（TOYOTA）公司資訊安全的研究報告，指出其全球供應商管理系統（GSPIMS）存有安全漏洞，任何人可以使用有效的電子郵件地址登入系統，甚至取得系統管理員訪問權限，存取所有資料。

 Eaton Works表示，其在2022年10月下旬的調查發現，短短一周的時間就找出豐田四個歸類資安漏洞，尤其以該公司員工及供應商用於協調項目、零件、調查和採購等業務的全球供應商管理系統的問題最為嚴重。

Eaton Works指出，該系統具有允許任何人使用有效的電子信箱，例如從網路上搜尋取得的豐田員工電子信箱，即可通過身分驗證，並以該公司員工或供應商身分都入的後門機制。

在調查過程中，Eaton Works在系統中輕易找出擁有存取與管理約1.4萬個帳戶內容的系統管理員帳戶，並且取得控制權。

資安媒體《SecurityWeek》的專家指出，假使帶有惡意的攻擊者利用該後門入侵系統，並且創立具有系統管理員權限的帳戶，就可以盜取、篡改或刪除所有系統數據；同時能利用1.4萬個帳戶的資料內容，譬如各公司的電子信箱，發動網路釣魚攻擊。更重要的是，以此模式發起的攻擊被發現的可能性十分的低。

目前，Eaton Works已經在2022年11月初向豐田通報此安全漏洞；豐田在接獲通知後隨即修復該問題。

網路媒體《BleepingComputer》報導，雖然豐田近期並未發生大規模數據洩漏事件，因此可以假設Eaton Works是首位發現該漏洞者。不過，自2022年2月開始，豐田的供應商仍出現零星的資安災情。

資料來源：Eaton Works、SecurityWeek、BleepingComputer

瀏覽 609 次