Jun 02, 2023
Honda API 결함으로 고객 데이터, 딜러 패널, 내부 문서 노출
전력 장비, 해양, 잔디 및 정원을 위한 Honda의 전자상거래 플랫폼은 다음과 같습니다.
전력 장비, 해양, 잔디 및 정원을 위한 Honda의 전자 상거래 플랫폼은 모든 계정에 대해 비밀번호를 재설정할 수 있는 API 결함으로 인해 누구나 무단 액세스에 취약했습니다.
혼다(Honda)는 일본의 자동차, 오토바이, 전력 장비 제조업체입니다. 이 경우 후자 부분만 영향을 받으므로 Honda 자동차나 오토바이 소유자는 영향을 받지 않습니다.
Honda 시스템의 보안 허점은 보안 연구원 Eaton Zveare에 의해 발견되었습니다. 그는 몇 달 전에 유사한 취약점을 이용하여 Toyota의 공급업체 포털을 침해했습니다.
Honda의 경우 Eaton Works는 비밀번호 재설정 API를 활용하여 중요한 계정의 비밀번호를 재설정한 다음 회사 네트워크에서 무제한 관리자 수준 데이터 액세스를 누렸습니다.
"깨진/누락된 액세스 제어로 인해 테스트 계정으로 로그인한 경우에도 플랫폼의 모든 데이터에 액세스할 수 있었습니다."라고 연구원은 설명합니다.
그 결과, 보안 연구원과 동일한 취약점을 악용하는 위협 행위자에게 다음 정보가 노출되었습니다.
위 데이터는 피싱 캠페인, 사회 공학 공격을 시작하는 데 사용되거나 해커 포럼 및 다크 웹 시장에서 판매될 수 있습니다.
또한 공격자는 딜러 사이트에 접근하여 신용 카드 스키머나 기타 악성 JavaScript 스니펫을 심을 수 있습니다.
Zveare는 등록된 리셀러/딜러에게 "powerdealer.honda.com" 하위 도메인을 할당하는 Honda의 전자 상거래 플랫폼에 API 결함이 있다고 설명합니다.
연구원은 Honda 사이트 중 하나인 Power Equipment Tech Express(PETE)의 비밀번호 재설정 API가 토큰이나 이전 비밀번호 없이 유효한 이메일만 요구하면서 재설정 요청을 처리한다는 사실을 발견했습니다.
이 취약점은 전자 상거래 하위 도메인 로그인 포털에는 존재하지 않지만 PETE 사이트를 통해 전환된 자격 증명은 여전히 작동하므로 누구나 이 간단한 공격을 통해 내부 대리점 데이터에 액세스할 수 있습니다.
누락된 유일한 부분은 딜러의 유효한 이메일 주소가 있다는 것입니다. 연구원은 테스트 계정을 사용하여 딜러 대시보드를 시연한 YouTube 동영상에서 이 주소를 얻었습니다.
다음 단계는 테스트 계정 외에 실제 딜러의 정보에 액세스하는 것이었습니다. 그러나 운영을 방해하지 않고 수백 개의 계정의 비밀번호를 재설정하지 않고도 그렇게 하는 것이 바람직할 것입니다.
연구원이 발견한 해결책은 플랫폼에서 사용자 ID가 순차적으로 할당되고 액세스 보호가 부족하다는 두 번째 취약점을 활용하는 것이었습니다.
이를 통해 다른 결과가 없을 때까지 사용자 ID를 1씩 증가시켜 모든 Honda 딜러의 데이터 패널에 임의로 액세스할 수 있게 되었습니다.
"그 ID를 늘리는 것만으로 모든 딜러의 데이터에 액세스할 수 있었습니다. 기본 JavaScript 코드는 해당 ID를 가져와 API 호출에서 이를 사용하여 데이터를 가져와 페이지에 표시합니다. 다행히도 이 발견으로 인해 더 이상 비밀번호를 재설정해야 할 필요성이 사라졌습니다. ." Zvaere가 말했다.
위의 결함은 Honda의 등록 딜러가 다른 딜러의 패널에 접근하고 더 나아가 그들의 주문, 고객 세부 정보 등에 접근하기 위해 악용될 수 있다는 점은 주목할 가치가 있습니다.
공격의 마지막 단계는 회사 전자상거래 플랫폼의 중앙 제어 지점인 Honda의 관리 패널에 액세스하는 것이었습니다.
연구원은 자신이 관리자인 것처럼 보이도록 HTTP 응답을 수정하여 Honda 딜러 사이트 플랫폼에 무제한으로 액세스할 수 있었습니다.
위 내용은 2023년 3월 16일 혼다에 보고되었으며, 2023년 4월 3일까지 일본 회사는 모든 문제가 해결되었음을 확인했습니다.
버그 현상금 프로그램이 마련되어 있지 않았기 때문에 Honda는 Zveare의 책임 있는 보고에 대해 보상하지 않았으며 이는 Toyota 사례와 동일한 결과입니다.
PoC 익스플로잇이 공개된 후 해커들이 Wordpress 플러그인 결함을 표적으로 삼았습니다.
WordPress 사용자 정의 필드 플러그인 버그로 인해 1백만 개 이상의 사이트가 XSS 공격에 노출됨
PrestaShop은 모든 백엔드 사용자가 데이터베이스를 삭제할 수 있는 버그를 수정합니다.