安全動(dòng)態(tài)

福特汽車公司出現(xiàn)暴露客戶和員工記錄的漏洞

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-08-17    瀏覽次數(shù):
 

信息來(lái)源:Freebuf

據(jù)Bleeping Computer報(bào)道,8月15日,研究人員披露了在福特網(wǎng)站上發(fā)現(xiàn)的一個(gè)漏洞,該漏洞可以讓瀏覽者窺視公司機(jī)密記錄、數(shù)據(jù)庫(kù)并且執(zhí)行帳戶接管。研究人員于今年2月向福特報(bào)送該漏洞,福特稱該漏洞已修復(fù)。

數(shù)據(jù)泄露的根源是福特汽車公司服務(wù)器上運(yùn)行的 Pega Infinity 客戶參與系統(tǒng)配置錯(cuò)誤。

福特

從數(shù)據(jù)泄露到賬戶接管

福特汽車公司網(wǎng)站上存在一個(gè)系統(tǒng)漏洞,該漏洞允許瀏覽者訪問(wèn)敏感系統(tǒng),并獲取包括客戶數(shù)據(jù)庫(kù)、員工記錄、內(nèi)部票證等專有信息。

漏洞由Robert Willis 和 break3r發(fā)現(xiàn), 并得到了Sakura Samurai白帽組織成員Aubrey Cottle、Jackson Henry和John Jackson 的進(jìn)一步驗(yàn)證和支持 。

這種問(wèn)題是由一個(gè)名為 CVE-2021-27653 信息泄露漏洞引起的,存在于配置不當(dāng)?shù)?Pega Infinity 客戶管理系統(tǒng)實(shí)例中。

研究人員向媒體分享了福特內(nèi)部系統(tǒng)和數(shù)據(jù)庫(kù)的許多截圖,例如下圖所示的公司票務(wù)系統(tǒng):

福特票務(wù)系統(tǒng)暴露

福特內(nèi)部的票務(wù)系統(tǒng)

想要利用該漏洞的話,攻擊者必須先訪問(wèn)配置錯(cuò)誤的 Pega Chat Access Group 門戶實(shí)例的后端 Web 面板:

https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/
bD8qH******bIw4Prb*/!RPACHAT/$STANDARD...

作為 URL 參數(shù)提供的不同負(fù)載,可能使攻擊者能夠運(yùn)行查詢、檢索數(shù)據(jù)庫(kù)表、OAuth 訪問(wèn)令牌和執(zhí)行管理操作。

研究人員表示,暴露的資產(chǎn)包含以下所示的一些敏感的個(gè)人身份信息 (PII):

客戶和員工記錄、財(cái)務(wù)賬號(hào)、數(shù)據(jù)庫(kù)名稱和表、OAuth 訪問(wèn)令牌、內(nèi)部投票、用戶個(gè)人資料、

內(nèi)部接口、搜索欄歷史等。

Robert Willis在一篇博客文章中寫(xiě)道, “影響規(guī)模很大,攻擊者可以利用訪問(wèn)控制中發(fā)現(xiàn)的漏洞,獲取大量敏感記錄,獲取大量數(shù)據(jù),執(zhí)行帳戶接管。”

用時(shí)六個(gè)月“強(qiáng)制披露”

2021年2月,研究人員向Pega報(bào)告了他們的發(fā)現(xiàn),他們用相對(duì)較快的時(shí)間修復(fù)了聊天門戶中的 CVE。大約在同一時(shí)間,福特公司也通過(guò)HackerOne 漏洞披露計(jì)劃收到了該漏洞報(bào)送。

但是,根據(jù)報(bào)道,隨著漏洞披露時(shí)間表的推進(jìn),福特的反饋卻變得越來(lái)越少。

Jackson在電子郵件采訪中回應(yīng)媒體,“有一次,福特汽車公司對(duì)我們的問(wèn)題置之不理,經(jīng)過(guò)HackerOne的調(diào)解,我們才得到福特對(duì)該漏洞的初步回應(yīng)。”

Jackson還表示,隨著披露時(shí)間表的進(jìn)一步推進(jìn),研究人員僅在發(fā)布了該漏洞的推文以后,收到了HackerOne的回復(fù),沒(méi)有包含任何敏感細(xì)節(jié):

1629082227_6119d27306e97aa4794a9.png!small?1629082225388

Jackson在后續(xù)的推文中繼續(xù)說(shuō):“當(dāng)漏洞標(biāo)記成已經(jīng)解決后,福特汽車公司忽略了我們的披露請(qǐng)求,隨后,HackerOne調(diào)解同樣忽略了我們的披露請(qǐng)求,這可以在 PDF 中看到“;“出于對(duì)法律和負(fù)面影響的擔(dān)憂,我們只能等待整整六個(gè)月才能根據(jù)HackerOne的政策執(zhí)行強(qiáng)制披露。“

目前,福特汽車公司的漏洞披露計(jì)劃沒(méi)有提供金錢激勵(lì)或者漏洞獎(jiǎng)勵(lì),因此根據(jù)公眾利益進(jìn)行協(xié)調(diào)披露是研究人員唯一希望的獲得“獎(jiǎng)勵(lì)”。

跟隨報(bào)道披露出的報(bào)告副本顯示,福特沒(méi)有對(duì)具體的安全相關(guān)行動(dòng)發(fā)表評(píng)論。

根據(jù) PDF 中的討論,福特與HackerOne對(duì)研究人員表示:“發(fā)現(xiàn)的漏洞在提交給 HackerOne后不久,系統(tǒng)就下線了。”

盡管福特在報(bào)告發(fā)布后24小時(shí)內(nèi)已經(jīng)將這些終端下線,但研究人員在同一份報(bào)告中評(píng)論稱,”在報(bào)告發(fā)布后,這些終端仍然可以訪問(wèn),要求進(jìn)行另一次審查和補(bǔ)救?!?

目前尚不清楚是否有人員利用該漏洞入侵福特的系統(tǒng),或者是否訪問(wèn)了客戶和員工的敏感數(shù)據(jù)。

 
 

上一篇:Data.2021.08.10.005916

下一篇:英國(guó)擬2025年完全淘汰固定電話 約150萬(wàn)家庭受影響