近日,，福特汽車被曝存在一個(gè)較為嚴(yán)重的安全漏洞,，黑客可通過該漏洞訪問其配置錯(cuò)誤的Pega Infinity系統(tǒng)，從而獲取包括客戶數(shù)據(jù)庫,、員工記錄,、內(nèi)部票證等在內(nèi)的專有數(shù)據(jù)信息。黑客還可以借此執(zhí)行賬戶接管操作,。

　　從數(shù)據(jù)泄露到賬戶接管

　　該漏洞由Robert Willis 和 break3r發(fā)現(xiàn),， 并得到了Sakura Samurai組織成員Aubrey Cottle、Jackson Henry和John Jackson的進(jìn)一步驗(yàn)證和支持 ,。

　　該問題是由CVE-2021-27653漏洞引起的,，它是一個(gè)信息泄露漏洞，存在于福特公司配置不當(dāng)?shù)腜ega Infinity客戶管理系統(tǒng)中,。研究人員分享了該系統(tǒng)和數(shù)據(jù)庫的許多截圖,。例如，該公司的票務(wù)系統(tǒng)如下圖所示：

　　福特的內(nèi)部票務(wù)系統(tǒng)

　　要利用該漏洞,，攻擊者首先必須訪問配置錯(cuò)誤的Pega Chat Access Group用戶的后端Web面板：

　　作為URL參數(shù)提供的不同負(fù)載可能使攻擊者能夠運(yùn)行查詢,、檢索數(shù)據(jù)庫表、獲取OAuth訪問令牌和執(zhí)行管理操作,。

　　研究人員表示,，泄露的數(shù)據(jù)資產(chǎn)包含敏感的個(gè)人身份信息：

　　客戶和員工記錄

　　財(cái)務(wù)賬號

　　數(shù)據(jù)庫名稱和表

　　OAuth訪問令牌

　　內(nèi)部支持票

　　組織內(nèi)的用戶個(gè)人資料

　　脈沖動(dòng)作

　　內(nèi)部接口

　　搜索欄歷史

　　耗時(shí)六個(gè)月才被披露

　　早在2021年2月，研究人員就向Pega報(bào)告了他們的發(fā)現(xiàn),，并盡快地修復(fù)了聊天門戶中的CVE漏洞,。大約在同一時(shí)間，這個(gè)問題也通過他們的HackerOne漏洞披露計(jì)劃報(bào)告給了福特,。

　　Jackson表示,，隨著披露時(shí)間表的進(jìn)一步推進(jìn)，研究人員在發(fā)布有關(guān)該漏洞的推文后收到了HackerOne的回復(fù),，但沒有提供任何敏感細(xì)節(jié)：

　　研究人員等待了六個(gè)月后才得到了該漏洞的披露詳情,。目前，福特的漏洞披露計(jì)劃不提供金錢激勵(lì)或漏洞獎(jiǎng)勵(lì),，因此根據(jù)公共利益進(jìn)行協(xié)調(diào)披露是研究人員希望的唯一“獎(jiǎng)勵(lì)”,。

　　目前，福特并沒有對本次事件的特定安全相關(guān)行為發(fā)表評論,。雖然福特宣稱在接到報(bào)告后24小時(shí)內(nèi)關(guān)閉了端點(diǎn),，但研究人員指出，他們在福特宣稱關(guān)閉了端點(diǎn)之后發(fā)現(xiàn)此端點(diǎn)仍可訪問,，并要求福特再次審查并采取緩解措施,。

　　目前尚不清楚是否有任何攻擊者利用該漏洞破壞福特的系統(tǒng)，或者是否訪問了客戶或福特員工的個(gè)人身份信息。