近日,,福特汽車(chē)被曝存在一個(gè)較為嚴(yán)重的安全漏洞,黑客可通過(guò)該漏洞訪問(wèn)其配置錯(cuò)誤的Pega Infinity系統(tǒng),,從而獲取包括客戶(hù)數(shù)據(jù)庫(kù)、員工記錄,、內(nèi)部票證等在內(nèi)的專(zhuān)有數(shù)據(jù)信息,。黑客還可以借此執(zhí)行賬戶(hù)接管操作。
從數(shù)據(jù)泄露到賬戶(hù)接管
該漏洞由Robert Willis 和 break3r發(fā)現(xiàn),, 并得到了Sakura Samurai組織成員Aubrey Cottle,、Jackson Henry和John Jackson的進(jìn)一步驗(yàn)證和支持 。
該問(wèn)題是由CVE-2021-27653漏洞引起的,,它是一個(gè)信息泄露漏洞,,存在于福特公司配置不當(dāng)?shù)腜ega Infinity客戶(hù)管理系統(tǒng)中。研究人員分享了該系統(tǒng)和數(shù)據(jù)庫(kù)的許多截圖,。例如,,該公司的票務(wù)系統(tǒng)如下圖所示:
福特的內(nèi)部票務(wù)系統(tǒng)
要利用該漏洞,攻擊者首先必須訪問(wèn)配置錯(cuò)誤的Pega Chat Access Group用戶(hù)的后端Web面板:
作為URL參數(shù)提供的不同負(fù)載可能使攻擊者能夠運(yùn)行查詢(xún),、檢索數(shù)據(jù)庫(kù)表、獲取OAuth訪問(wèn)令牌和執(zhí)行管理操作,。
研究人員表示,,泄露的數(shù)據(jù)資產(chǎn)包含敏感的個(gè)人身份信息:
客戶(hù)和員工記錄
財(cái)務(wù)賬號(hào)
數(shù)據(jù)庫(kù)名稱(chēng)和表
OAuth訪問(wèn)令牌
內(nèi)部支持票
組織內(nèi)的用戶(hù)個(gè)人資料
脈沖動(dòng)作
內(nèi)部接口
搜索欄歷史
耗時(shí)六個(gè)月才被披露
早在2021年2月,研究人員就向Pega報(bào)告了他們的發(fā)現(xiàn),,并盡快地修復(fù)了聊天門(mén)戶(hù)中的CVE漏洞,。大約在同一時(shí)間,這個(gè)問(wèn)題也通過(guò)他們的HackerOne漏洞披露計(jì)劃報(bào)告給了福特,。
Jackson表示,,隨著披露時(shí)間表的進(jìn)一步推進(jìn),研究人員在發(fā)布有關(guān)該漏洞的推文后收到了HackerOne的回復(fù),,但沒(méi)有提供任何敏感細(xì)節(jié):
研究人員等待了六個(gè)月后才得到了該漏洞的披露詳情,。目前,福特的漏洞披露計(jì)劃不提供金錢(qián)激勵(lì)或漏洞獎(jiǎng)勵(lì),,因此根據(jù)公共利益進(jìn)行協(xié)調(diào)披露是研究人員希望的唯一“獎(jiǎng)勵(lì)”,。
目前,福特并沒(méi)有對(duì)本次事件的特定安全相關(guān)行為發(fā)表評(píng)論,。雖然福特宣稱(chēng)在接到報(bào)告后24小時(shí)內(nèi)關(guān)閉了端點(diǎn),,但研究人員指出,他們?cè)诟L匦Q(chēng)關(guān)閉了端點(diǎn)之后發(fā)現(xiàn)此端點(diǎn)仍可訪問(wèn),,并要求福特再次審查并采取緩解措施,。
目前尚不清楚是否有任何攻擊者利用該漏洞破壞福特的系統(tǒng),或者是否訪問(wèn)了客戶(hù)或福特員工的個(gè)人身份信息,。