《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 福特網(wǎng)站漏洞泄露內(nèi)部系統(tǒng)客戶和員工記錄

福特網(wǎng)站漏洞泄露內(nèi)部系統(tǒng)客戶和員工記錄

2021-08-21
來源:紅數(shù)位
關(guān)鍵詞: 福特 漏洞泄露 員工記錄

  福特汽車公司網(wǎng)站上的一個(gè)漏洞允許訪問敏感系統(tǒng)并獲取專有數(shù)據(jù),例如客戶數(shù)據(jù)庫、員工記錄、內(nèi)部票證等。

  數(shù)據(jù)泄露源于福特服務(wù)器上運(yùn)行的Pega Infinity客戶參與系統(tǒng)的錯(cuò)誤配置實(shí)例。

  從數(shù)據(jù)泄露到賬戶接管

  本周,研究人員披露了在福特網(wǎng)站上發(fā)現(xiàn)的一個(gè)漏洞,讓他們可以窺視公司機(jī)密記錄、數(shù)據(jù)庫并執(zhí)行帳戶接管。

  該漏洞由Robert Willis和break3r發(fā)現(xiàn), 并得到了Sakura Samurai白帽子黑客組織成員Aubrey Cottle、Jackson Henry和John Jackson 的進(jìn)一步驗(yàn)證和支持 。

  該問題是由CVE-2021-27653引起的,這是一個(gè)信息泄露漏洞,存在于配置不當(dāng)?shù)腜ega Infinity客戶管理系統(tǒng)實(shí)例中。

  研究人員與外媒分享了福特內(nèi)部系統(tǒng)和數(shù)據(jù)庫的許多截圖。例如,該公司的票務(wù)系統(tǒng)如下圖所示:

  圖片福特的內(nèi)部票務(wù)系統(tǒng)暴露給研究人員

  要利用該問題,攻擊者首先必須訪問配置錯(cuò)誤的Pega Chat Access Group 門戶實(shí)例的后端 Web 面板:

  https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/

  bD8qH******bIw4Prb*/!RPACHAT/$STANDARD…

  正如我們所見,作為URL參數(shù)提供的不同負(fù)載可能使攻擊者能夠運(yùn)行查詢、檢索數(shù)據(jù)庫表、OAuth 訪問令牌和執(zhí)行管理操作。

  研究人員表示,一些暴露的資產(chǎn)包含敏感的個(gè)人身份信息 (PII),包括:

  客戶和員工記錄

  財(cái)務(wù)賬號

  數(shù)據(jù)庫名稱和表

  OAuth訪問令牌

  內(nèi)部支持票

  組織內(nèi)的用戶個(gè)人資料

  脈沖動(dòng)作

  內(nèi)部接口

  搜索欄歷史

  “影響規(guī)模很大。攻擊者可以利用在被破壞的訪問控制中發(fā)現(xiàn)的漏洞,獲取大量敏感記錄,執(zhí)行帳戶接管,并獲取大量數(shù)據(jù),”威利斯在一篇博客文章中寫道。

  花了六個(gè)月的時(shí)間“強(qiáng)制披露”

  2021年2月,研究人員向Pega報(bào)告了他們的發(fā)現(xiàn),他們相對較快地修復(fù)了聊天門戶中的CVE。大約在同一時(shí)間,這個(gè)問題也通過他們的HackerOne漏洞披露計(jì)劃報(bào)告給了福特。

  但是,研究人員透露,隨著負(fù)責(zé)任的披露時(shí)間表的推進(jìn),來自福特的交流變得越來越少:

  “有一次,他們完全停止回答我們的問題。經(jīng)過HackerOne的調(diào)解,我們才得到福特對我們提交的漏洞的初步回應(yīng),”約翰杰克遜在電子郵件采訪中透露。

  杰克遜表示,隨著披露時(shí)間表的進(jìn)一步推進(jìn),研究人員僅在發(fā)布有關(guān)該漏洞的推文后才收到HackerOne的回復(fù),但沒有提供任何敏感細(xì)節(jié):

  “當(dāng)漏洞被標(biāo)記為已解決時(shí),福特忽略了我們的披露請求。隨后,HackerOne 調(diào)解忽略了我們的幫助披露請求,這可以在PDF中看到?!薄俺鲇趯Ψ珊拓?fù)面影響的恐懼,我們不得不等待整整六個(gè)月才能根據(jù)HackerOne的政策強(qiáng)制披露,”杰克遜繼續(xù)說道。目前,福特的漏洞披露計(jì)劃不提供金錢激勵(lì)或漏洞獎(jiǎng)勵(lì),因此根據(jù)公眾利益進(jìn)行協(xié)調(diào)披露是研究人員唯一希望的“獎(jiǎng)勵(lì)”。

  與外界共享的披露報(bào)告副本表明,福特沒有對特定的安全相關(guān)行為發(fā)表評論。“你提交的調(diào)查結(jié)果……被認(rèn)為是私人的。這些漏洞報(bào)告旨在防止可能需要披露的妥協(xié)?!备鶕?jù)PDF中的討論,福特與HackerOne和研究人員分享說:“在這種情況下,系統(tǒng)在您將發(fā)現(xiàn)提交給HackerOne后不久就離線了?!?/p>

  盡管端點(diǎn)在報(bào)告后24小時(shí)內(nèi)被福特下線,但研究人員在同一份報(bào)告中評論說,即使在此之后端點(diǎn)仍然可以訪問,并要求再次審查和補(bǔ)救。目前尚不清楚是否有任何威脅行為者利用該漏洞破壞福特的系統(tǒng),或者是否訪問了敏感的客戶/員工 PII。

  福特對此未對外界進(jìn)行置評。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。