福特汽车公司出现暴露客户和员工记录的漏洞
2021-08-16 11:36:49 Author: www.freebuf.com(查看原文) 阅读量:34 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据Bleeping Computer报道,8月15日,研究人员披露了在福特网站上发现的一个漏洞,该漏洞可以让浏览者窥视公司机密记录、数据库并且执行帐户接管。研究人员于今年2月向福特报送该漏洞,福特称该漏洞已修复。

数据泄露的根源是福特汽车公司服务器上运行的 Pega Infinity 客户参与系统配置错误。

福特

从数据泄露到账户接管

福特汽车公司网站上存在一个系统漏洞,该漏洞允许浏览者访问敏感系统,并获取包括客户数据库、员工记录、内部票证等专有信息。

漏洞由Robert Willis 和 break3r发现, 并得到了Sakura Samurai白帽组织成员Aubrey Cottle、Jackson Henry和John Jackson 的进一步验证和支持 。

这种问题是由一个名为 CVE-2021-27653 信息泄露漏洞引起的,存在于配置不当的 Pega Infinity 客户管理系统实例中。

研究人员向媒体分享了福特内部系统和数据库的许多截图,例如下图所示的公司票务系统:

福特票务系统暴露

福特内部的票务系统

想要利用该漏洞的话,攻击者必须先访问配置错误的 Pega Chat Access Group 门户实例的后端 Web 面板:

https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/
bD8qH******bIw4Prb*/!RPACHAT/$STANDARD...

作为 URL 参数提供的不同负载,可能使攻击者能够运行查询、检索数据库表、OAuth 访问令牌和执行管理操作。

研究人员表示,暴露的资产包含以下所示的一些敏感的个人身份信息 (PII):

客户和员工记录、财务账号、数据库名称和表、OAuth 访问令牌、内部投票、用户个人资料、

内部接口、搜索栏历史等。

Robert Willis在一篇博客文章中写道, “影响规模很大,攻击者可以利用访问控制中发现的漏洞,获取大量敏感记录,获取大量数据,执行帐户接管。”

用时六个月“强制披露”

2021年2月,研究人员向Pega报告了他们的发现,他们用相对较快的时间修复了聊天门户中的 CVE。大约在同一时间,福特公司也通过HackerOne 漏洞披露计划收到了该漏洞报送。

但是,根据报道,随着漏洞披露时间表的推进,福特的反馈却变得越来越少。

Jackson在电子邮件采访中回应媒体,“有一次,福特汽车公司对我们的问题置之不理,经过HackerOne的调解,我们才得到福特对该漏洞的初步回应。”

Jackson还表示,随着披露时间表的进一步推进,研究人员仅在发布了该漏洞的推文以后,收到了HackerOne的回复,没有包含任何敏感细节:

1629082227_6119d27306e97aa4794a9.png!small?1629082225388

Jackson在后续的推文中继续说:“当漏洞标记成已经解决后,福特汽车公司忽略了我们的披露请求,随后,HackerOne调解同样忽略了我们的披露请求,这可以在 PDF 中看到“;“出于对法律和负面影响的担忧,我们只能等待整整六个月才能根据HackerOne的政策执行强制披露。“

目前,福特汽车公司的漏洞披露计划没有提供金钱激励或者漏洞奖励,因此根据公众利益进行协调披露是研究人员唯一希望的获得“奖励”。

跟随报道披露出的报告副本显示,福特没有对具体的安全相关行动发表评论。

根据 PDF 中的讨论,福特与HackerOne对研究人员表示:“发现的漏洞在提交给 HackerOne后不久,系统就下线了。”

尽管福特在报告发布后24小时内已经将这些终端下线,但研究人员在同一份报告中评论称,”在报告发布后,这些终端仍然可以访问,要求进行另一次审查和补救。“

目前尚不清楚是否有人员利用该漏洞入侵福特的系统,或者是否访问了客户和员工的敏感数据。


文章来源: https://www.freebuf.com/news/284773.html
如有侵权请联系:admin#unsafe.sh