福特汽车公司网站上的一个漏洞允许访问敏感系统并获取专有数据,如客户数据库、员工记录、内部罚单等。
数据泄露的原因是在福特服务器上运行的Pega Infinity客户参与系统配置错误。
从数据泄露到账户接管
上周,研究人员披露了在福特网站上发现的一个漏洞,他们可以通过这个漏洞查看公司的机密记录、数据库,并进行账户接管。
该漏洞是由CVE-2021-27653引起的,这是一个配置不当的Pega Infinity客户管理系统实例中的信息暴露漏洞。
研究人员与BleepingComputer分享了福特内部系统和数据库的许多截图。例如,该公司的票务系统如下图所示:
福特的内部票务系统暴露给研究人员
要利用该漏洞,攻击者首先必须访问配置错误的Pega Chat Access Group门户实例的后端Web面板:
www.rpa-pega-1.ford.com/prweb/PRCha…
bD8qH*****bIw4Prb/!RPACHAT/$STANDARD...
正如BleepingComputer所见,作为URL参数提供的不同负载可以使攻击者运行查询、检索数据库表、OAuth访问令牌和执行管理操作。
研究人员表示,一些暴露的资产包含敏感的个人身份信息 (PII),包括:
客户和员工记录
财务账号
数据库名称和表
OAuth访问令牌
内部支持票
组织内的用户个人资料
脉冲动作
内部接口
搜索栏历史
“影响规模很大,攻击者可以利用被破坏的访问控制中发现的漏洞,获取大量敏感记录,进行账户接管,并获取大量数据。”威利斯在一篇博客文章中写道。
花了六个月的时间“强制披露”
今年2月研究人员向Pega报告了他们的发现,他们相对较快地修复了聊天门户中的CVE。大约在同一时间,这个问题也通过他们的HackerOne漏洞披露计划报告给了福特。但漏洞事项推进缓慢。
以下是暴露的许多内容:
客户数据库
员工记录
内部票务系统
OAuth令牌
请求信息
财务……
大约有8页的数据库表因此很难完整表达。
一份分享给BleepingComputer的披露报告副本显示,福特没有对具体的安全相关行动发表评论。
尽管福特在报告发布后24小时内将这些终端下线,但研究人员在同一份报告中评论称,在报告发布后这些终端仍然可以访问。目前尚不清楚是否有任何威胁行为者利用该漏洞破坏福特的系统,或者是否访问了敏感的客户/员工PII。
超过六成的安全漏洞与代码有关,而面对日益增加的网络攻击,减少安全漏洞加强软件安全,已成为每个企业都应重视的首要问题。数据显示,在软件开发过程中通过静态代码检测技术可以帮助企业减少30%-70%的安全漏洞。同时不需要执行代码即可检测出运行时缺陷及代码缺陷。此外能够快速准确检测所有的代码级别可执行路径组合,覆盖全面。从企业角度来说,在研发阶段开始找到并修复多种问题,可以帮助开发人员节省大量时间、人力成本,而且帮助企业造成尽可能少的经济损失。
参读链接:
