《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 福特網(wǎng)站漏洞泄露內(nèi)部系統(tǒng)客戶(hù)和員工記錄

福特網(wǎng)站漏洞泄露內(nèi)部系統(tǒng)客戶(hù)和員工記錄

2021-08-21
來(lái)源:紅數(shù)位
關(guān)鍵詞: 福特 漏洞泄露 員工記錄

  福特汽車(chē)公司網(wǎng)站上的一個(gè)漏洞允許訪問(wèn)敏感系統(tǒng)并獲取專(zhuān)有數(shù)據(jù),,例如客戶(hù)數(shù)據(jù)庫(kù),、員工記錄,、內(nèi)部票證等。

  數(shù)據(jù)泄露源于福特服務(wù)器上運(yùn)行的Pega Infinity客戶(hù)參與系統(tǒng)的錯(cuò)誤配置實(shí)例,。

  從數(shù)據(jù)泄露到賬戶(hù)接管

  本周,,研究人員披露了在福特網(wǎng)站上發(fā)現(xiàn)的一個(gè)漏洞,,讓他們可以窺視公司機(jī)密記錄,、數(shù)據(jù)庫(kù)并執(zhí)行帳戶(hù)接管,。

  該漏洞由Robert Willis和break3r發(fā)現(xiàn), 并得到了Sakura Samurai白帽子黑客組織成員Aubrey Cottle,、Jackson Henry和John Jackson 的進(jìn)一步驗(yàn)證和支持 ,。

  該問(wèn)題是由CVE-2021-27653引起的,這是一個(gè)信息泄露漏洞,,存在于配置不當(dāng)?shù)腜ega Infinity客戶(hù)管理系統(tǒng)實(shí)例中,。

  研究人員與外媒分享了福特內(nèi)部系統(tǒng)和數(shù)據(jù)庫(kù)的許多截圖。例如,,該公司的票務(wù)系統(tǒng)如下圖所示:

  圖片福特的內(nèi)部票務(wù)系統(tǒng)暴露給研究人員

  要利用該問(wèn)題,,攻擊者首先必須訪問(wèn)配置錯(cuò)誤的Pega Chat Access Group 門(mén)戶(hù)實(shí)例的后端 Web 面板:

  https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/

  bD8qH******bIw4Prb*/!RPACHAT/$STANDARD…

  正如我們所見(jiàn),作為URL參數(shù)提供的不同負(fù)載可能使攻擊者能夠運(yùn)行查詢(xún)、檢索數(shù)據(jù)庫(kù)表,、OAuth 訪問(wèn)令牌和執(zhí)行管理操作,。

  研究人員表示,一些暴露的資產(chǎn)包含敏感的個(gè)人身份信息 (PII),,包括:

  客戶(hù)和員工記錄

  財(cái)務(wù)賬號(hào)

  數(shù)據(jù)庫(kù)名稱(chēng)和表

  OAuth訪問(wèn)令牌

  內(nèi)部支持票

  組織內(nèi)的用戶(hù)個(gè)人資料

  脈沖動(dòng)作

  內(nèi)部接口

  搜索欄歷史

  “影響規(guī)模很大,。攻擊者可以利用在被破壞的訪問(wèn)控制中發(fā)現(xiàn)的漏洞,,獲取大量敏感記錄,,執(zhí)行帳戶(hù)接管,并獲取大量數(shù)據(jù),,”威利斯在一篇博客文章中寫(xiě)道,。

  花了六個(gè)月的時(shí)間“強(qiáng)制披露”

  2021年2月,研究人員向Pega報(bào)告了他們的發(fā)現(xiàn),,他們相對(duì)較快地修復(fù)了聊天門(mén)戶(hù)中的CVE,。大約在同一時(shí)間,這個(gè)問(wèn)題也通過(guò)他們的HackerOne漏洞披露計(jì)劃報(bào)告給了福特,。

  但是,,研究人員透露,隨著負(fù)責(zé)任的披露時(shí)間表的推進(jìn),,來(lái)自福特的交流變得越來(lái)越少:

  “有一次,,他們完全停止回答我們的問(wèn)題。經(jīng)過(guò)HackerOne的調(diào)解,,我們才得到福特對(duì)我們提交的漏洞的初步回應(yīng),,”約翰杰克遜在電子郵件采訪中透露。

  杰克遜表示,,隨著披露時(shí)間表的進(jìn)一步推進(jìn),,研究人員僅在發(fā)布有關(guān)該漏洞的推文后才收到HackerOne的回復(fù),但沒(méi)有提供任何敏感細(xì)節(jié):

  “當(dāng)漏洞被標(biāo)記為已解決時(shí),,福特忽略了我們的披露請(qǐng)求,。隨后,HackerOne 調(diào)解忽略了我們的幫助披露請(qǐng)求,,這可以在PDF中看到,。”“出于對(duì)法律和負(fù)面影響的恐懼,,我們不得不等待整整六個(gè)月才能根據(jù)HackerOne的政策強(qiáng)制披露,,”杰克遜繼續(xù)說(shuō)道。目前,,福特的漏洞披露計(jì)劃不提供金錢(qián)激勵(lì)或漏洞獎(jiǎng)勵(lì),,因此根據(jù)公眾利益進(jìn)行協(xié)調(diào)披露是研究人員唯一希望的“獎(jiǎng)勵(lì)”。

  與外界共享的披露報(bào)告副本表明,福特沒(méi)有對(duì)特定的安全相關(guān)行為發(fā)表評(píng)論,?!澳闾峤坏恼{(diào)查結(jié)果……被認(rèn)為是私人的。這些漏洞報(bào)告旨在防止可能需要披露的妥協(xié),?!备鶕?jù)PDF中的討論,福特與HackerOne和研究人員分享說(shuō):“在這種情況下,,系統(tǒng)在您將發(fā)現(xiàn)提交給HackerOne后不久就離線了,。”

  盡管端點(diǎn)在報(bào)告后24小時(shí)內(nèi)被福特下線,,但研究人員在同一份報(bào)告中評(píng)論說(shuō),,即使在此之后端點(diǎn)仍然可以訪問(wèn),并要求再次審查和補(bǔ)救,。目前尚不清楚是否有任何威脅行為者利用該漏洞破壞福特的系統(tǒng),,或者是否訪問(wèn)了敏感的客戶(hù)/員工 PII。

  福特對(duì)此未對(duì)外界進(jìn)行置評(píng),。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]