Posté le juin 8, 2023 à 6:47

LA PLATEFORME DE COMMERCE ÉLECTRONIQUE DE HONDA ÉTAIT VULNÉRABLE À UN ACCÈS NON AUTORISÉ EN RAISON DE FAILLES DANS L’API

La plateforme de commerce électronique de Honda, utilisée pour la marine, l’équipement électrique, le gazon et le jardin, est vulnérable à un accès non autorisé. N’importe qui peut accéder à cette plateforme en raison de failles dans l’API qui permettent de réinitialiser le mot de passe de n’importe quel compte.

Honda est vulnérable aux exploits à cause des failles de l’API

Honda est un constructeur basé au Japon. Il propose une large gamme de produits, notamment des motos, des automobiles et des équipements électriques. La division affectée par cette vulnérabilité est celle des équipements électriques. Les propriétaires de voitures et de motos Honda n’ont donc pas été affectés.

Le problème de sécurité auquel sont confrontés les systèmes Honda a été détecté par un chercheur en sécurité connu sous le nom d’Eaton Zveare. Le même acteur de menaces était à l’origine d’une violation du portail des fournisseurs de Toyota qui s’est produite il y a quelques mois et qui a exploité des vulnérabilités similaires sur la plateforme.

Le chercheur en sécurité a démontré cet exploit en ciblant une API de réinitialisation de mot de passe qui réinitialise le mot de passe des comptes d’utilisateurs. Un acteur malveillant qui obtient un accès non autorisé peut bénéficier d’un accès illimité aux données sur le réseau de l’entreprise. Le chercheur a noté qu’il était possible d’accéder à ces données en raison de contrôles d’accès défaillants ou manquants lorsqu’une personne s’est connectée à un compte de test.

En exploitant cette faille, le chercheur en sécurité a exposé un large éventail d’informations. Le chercheur a accédé à 21 393 commandes de clients entre août 2016 et mars 2023, les détails exposés comprenant les numéros de téléphone, les adresses, les noms des clients et les articles commandés.

Les informations exposées comprenaient également 1 570 sites web de concessionnaires, 3 588 utilisateurs ou comptes de concessionnaires, le chercheur étant en mesure de modifier le mot de passe de ces utilisateurs. Le chercheur a aussi découvert 1 090 e-mails de concessionnaires, 11 034 e-mails de clients et des rapports financiers internes. Il est en outre possible qu’ils aient accédé aux clés privées de PayPal, Stripe et Authorize.net pour les revendeurs qui les ont proposées.

Les données qui ont été exposées à ces hackers pourraient être utilisées pour mener des attaques de phishing et déclencher des attaques d’ingénierie sociale. Les informations peuvent aussi être vendues sur des forums de hackers ou sur la place de marché du dark web. En plus d’avoir accès à ces sites marchands, les attaquants peuvent créer des skimmers de cartes de crédit et des snippets JavaScript malveillants.

Les hackers peuvent accéder aux panneaux d’administration

Zveare a également expliqué que la vulnérabilité de l’API existait au sein de la plateforme de commerce électronique de Honda qui attribuait les sous-domaines « powerdealer.honda.com » aux concessionnaires et revendeurs enregistrés.

Le chercheur a par ailleurs observé que l’API de réinitialisation du mot de passe sur l’un des sites appartenant à Honda, Power Equipment Tech Express (PETE), traitait les demandes de réinitialisation sans avoir besoin d’un jeton ou du mot de passe précédent. La seule chose requise pour exécuter cette fonction est une adresse électronique valide.

La vulnérabilité en question n’existe pas sur le portail de connexion des sous-domaines de commerce électronique. Les identifiants qui ont été échangés via le site PETE peuvent toujours fonctionner, ce qui permettra à n’importe qui d’accéder aux données internes de la concession après la simple attaque.

La seule chose à laquelle l’attaquant pourrait ne pas avoir accès est une adresse électronique valide appartenant à un concessionnaire. Le chercheur a également créé une vidéo YouTube qui présente le tableau de bord du concessionnaire à l’aide d’un compte de test.

Il est en outre possible d’exploiter la faille pour obtenir des informations provenant de revendeurs réels, en plus du compte de test. Toutefois, il est recommandé d’accéder aux informations sans perturber les opérations et sans avoir à réinitialiser les mots de passe de centaines de comptes.

La solution a permis d’accéder aux panneaux de données appartenant à tous les concessionnaires Honda en ajoutant un chiffre supérieur à l’ID utilisateur jusqu’à ce qu’il n’y ait plus de résultats. M. Zvaere a ajouté que le code JavaScript sous-jacent qui a pris un identifiant est utilisé dans les appels API pour récupérer les données et les afficher sur la page.

La faille qui existe sur les appareils Honda pourrait avoir été exploitée par des revendeurs enregistrés chez Honda. La faille pourrait permettre à ces concessionnaires d’accéder aux panneaux appartenant à d’autres concessionnaires, y compris les détails et les commandes des clients. La dernière étape de l’attaque consiste à accéder au panneau d’administration de Honda, qui est le point central de la plateforme de commerce électronique de Honda.

Selon le chercheur, l’accès a été accordé en modifiant une réponse HTTP qui a fait croire qu’il était un administrateur, tout en lui donnant un accès illimité à la plateforme Honda Dealer Sites. La faille a été signalée à Honda le 16 mars 2023 et l’entreprise a déjà publié un correctif confirmant que les problèmes étaient résolus. Cependant, M. Zvaere n’a pas été récompensé, car il n’existe pas de programme de primes aux bugs.