聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
一家大型汽车经销商的门户网站中存在一个严重漏洞,可导致越权攻击者注册经销商账号,将权限提升至国家管理员,并最终远程控制车辆。
该漏洞位于门户网站的Java/SAP 后端和 AngularJS 前端,其中隐藏的注册表可被暴露并遭恶意滥用。
利用隐藏注册表和会话令牌
安全研究员 Eaton Zveare 表示,该攻击始于一个隐藏的 HTML 注册表单的发现,该表单原文设计为提供有效邀请令牌前保持不可见状态。攻击者通过 Chrome 开发者工具强制显示该表单并在 POST 请求中省略 Invite_Token 参数,从而完全绕过服务器端的令牌验证。
该关键API 端点接受空白令牌,导致任何恶意用户都能够作为经销商员工进行注册。注册成功后,攻击者就会发现正常登录无法生成可用会话,但调用个人资料更新API却能生成一个有效的JSESSIONID cookie。
Zveare通过该会话令牌,使用 Chrome 的“本地覆盖”特性修复了关键的 JavaScript 函数,注释掉 commonUtil.srefInfo 检查并绕过 commonUtil.checkStateValid() 中的“拒绝访问”模态框。这就导致攻击者可导航至“内外部用户管理”模块并通过API暴露每个经销商的用户列表。
远程汽车控制
成功提权至国家管理员组后,Zveare访问了该经销商的单点登录 (SSO)管理系统并利用“经销商登录门户“的模拟特性。
通过替换 SSO URL 中的SSO_SYS_ID参数,研究人员跳转到此前不可访问的子品牌经销商门户。这一系列攻击最终指向了车辆注册 API,支持将客户账户配对到车辆识别码 (VIN)。
Zveare将所有权转移到其测试账号,通过官方移动app 发送远程解锁和启动指令,确认获得完全控制权。受害者虽然收到了自动触发的邮件提醒,但完全无法逆转该静默接管。该漏洞影响所有2012年及以后车型、配备远程信息处理模块的车辆。
Zveare督促汽车厂商立即部署补丁,包括执行服务器端邀请令牌验证、加强对 JSESSIONID cookie 的会话管理,以及对所有管理员类 API 执行最低权限检查。受影响汽车厂商已发布经销商门户版本1.2.3,强制验证 Invite_Token 值并在敏感端点上执行基于角色的访问控制。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
蓝牙漏洞PerfektBlue 可用于实现RCE,影响多家汽车厂商
奇安信荣膺NVDB-CAVD2025汽车信息安全春季赛第一名
超100家汽车经销商网站遭供应链攻击,传播ClickFix恶意代码
原文链接
https://cybersecuritynews.com/critical-vulnerability-in-carmaker-portal/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
