福特汽車(chē)公司網(wǎng)站上的一個(gè)漏洞允許訪問(wèn)敏感系統(tǒng)并獲取專(zhuān)有數(shù)據(jù),,例如客戶(hù)數(shù)據(jù)庫(kù),、員工記錄,、內(nèi)部票證等。
數(shù)據(jù)泄露源于福特服務(wù)器上運(yùn)行的Pega Infinity客戶(hù)參與系統(tǒng)的錯(cuò)誤配置實(shí)例,。
從數(shù)據(jù)泄露到賬戶(hù)接管
本周,,研究人員披露了在福特網(wǎng)站上發(fā)現(xiàn)的一個(gè)漏洞,,讓他們可以窺視公司機(jī)密記錄,、數(shù)據(jù)庫(kù)并執(zhí)行帳戶(hù)接管,。
該漏洞由Robert Willis和break3r發(fā)現(xiàn), 并得到了Sakura Samurai白帽子黑客組織成員Aubrey Cottle,、Jackson Henry和John Jackson 的進(jìn)一步驗(yàn)證和支持 ,。
該問(wèn)題是由CVE-2021-27653引起的,這是一個(gè)信息泄露漏洞,,存在于配置不當(dāng)?shù)腜ega Infinity客戶(hù)管理系統(tǒng)實(shí)例中,。
研究人員與外媒分享了福特內(nèi)部系統(tǒng)和數(shù)據(jù)庫(kù)的許多截圖。例如,,該公司的票務(wù)系統(tǒng)如下圖所示:
圖片福特的內(nèi)部票務(wù)系統(tǒng)暴露給研究人員
要利用該問(wèn)題,,攻擊者首先必須訪問(wèn)配置錯(cuò)誤的Pega Chat Access Group 門(mén)戶(hù)實(shí)例的后端 Web 面板:
https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/
bD8qH******bIw4Prb*/!RPACHAT/$STANDARD…
正如我們所見(jiàn),作為URL參數(shù)提供的不同負(fù)載可能使攻擊者能夠運(yùn)行查詢(xún)、檢索數(shù)據(jù)庫(kù)表,、OAuth 訪問(wèn)令牌和執(zhí)行管理操作,。
研究人員表示,一些暴露的資產(chǎn)包含敏感的個(gè)人身份信息 (PII),,包括:
客戶(hù)和員工記錄
財(cái)務(wù)賬號(hào)
數(shù)據(jù)庫(kù)名稱(chēng)和表
OAuth訪問(wèn)令牌
內(nèi)部支持票
組織內(nèi)的用戶(hù)個(gè)人資料
脈沖動(dòng)作
內(nèi)部接口
搜索欄歷史
“影響規(guī)模很大,。攻擊者可以利用在被破壞的訪問(wèn)控制中發(fā)現(xiàn)的漏洞,,獲取大量敏感記錄,,執(zhí)行帳戶(hù)接管,并獲取大量數(shù)據(jù),,”威利斯在一篇博客文章中寫(xiě)道,。
花了六個(gè)月的時(shí)間“強(qiáng)制披露”
2021年2月,研究人員向Pega報(bào)告了他們的發(fā)現(xiàn),,他們相對(duì)較快地修復(fù)了聊天門(mén)戶(hù)中的CVE,。大約在同一時(shí)間,這個(gè)問(wèn)題也通過(guò)他們的HackerOne漏洞披露計(jì)劃報(bào)告給了福特,。
但是,,研究人員透露,隨著負(fù)責(zé)任的披露時(shí)間表的推進(jìn),,來(lái)自福特的交流變得越來(lái)越少:
“有一次,,他們完全停止回答我們的問(wèn)題。經(jīng)過(guò)HackerOne的調(diào)解,,我們才得到福特對(duì)我們提交的漏洞的初步回應(yīng),,”約翰杰克遜在電子郵件采訪中透露。
杰克遜表示,,隨著披露時(shí)間表的進(jìn)一步推進(jìn),,研究人員僅在發(fā)布有關(guān)該漏洞的推文后才收到HackerOne的回復(fù),但沒(méi)有提供任何敏感細(xì)節(jié):
“當(dāng)漏洞被標(biāo)記為已解決時(shí),,福特忽略了我們的披露請(qǐng)求,。隨后,HackerOne 調(diào)解忽略了我們的幫助披露請(qǐng)求,,這可以在PDF中看到,。”“出于對(duì)法律和負(fù)面影響的恐懼,,我們不得不等待整整六個(gè)月才能根據(jù)HackerOne的政策強(qiáng)制披露,,”杰克遜繼續(xù)說(shuō)道。目前,,福特的漏洞披露計(jì)劃不提供金錢(qián)激勵(lì)或漏洞獎(jiǎng)勵(lì),,因此根據(jù)公眾利益進(jìn)行協(xié)調(diào)披露是研究人員唯一希望的“獎(jiǎng)勵(lì)”。
與外界共享的披露報(bào)告副本表明,福特沒(méi)有對(duì)特定的安全相關(guān)行為發(fā)表評(píng)論,?!澳闾峤坏恼{(diào)查結(jié)果……被認(rèn)為是私人的。這些漏洞報(bào)告旨在防止可能需要披露的妥協(xié),?!备鶕?jù)PDF中的討論,福特與HackerOne和研究人員分享說(shuō):“在這種情況下,,系統(tǒng)在您將發(fā)現(xiàn)提交給HackerOne后不久就離線了,。”
盡管端點(diǎn)在報(bào)告后24小時(shí)內(nèi)被福特下線,,但研究人員在同一份報(bào)告中評(píng)論說(shuō),,即使在此之后端點(diǎn)仍然可以訪問(wèn),并要求再次審查和補(bǔ)救,。目前尚不清楚是否有任何威脅行為者利用該漏洞破壞福特的系統(tǒng),,或者是否訪問(wèn)了敏感的客戶(hù)/員工 PII。
福特對(duì)此未對(duì)外界進(jìn)行置評(píng),。