福特汽车网站漏洞暴露内部系统敏感数据 包括财务信息及用户资料等

福特汽车公司网站上的一个漏洞允许访问敏感系统并获取专有数据,如客户数据库、员工记录、内部罚单等。

数据泄露的原因是在福特服务器上运行的Pega Infinity客户参与系统配置错误。

从数据泄露到账户接管

上周,研究人员披露了在福特网站上发现的一个漏洞,他们可以通过这个漏洞查看公司的机密记录、数据库,并进行账户接管。

该漏洞是由CVE-2021-27653引起的,这是一个配置不当的Pega Infinity客户管理系统实例中的信息暴露漏洞。

研究人员与BleepingComputer分享了福特内部系统和数据库的许多截图。例如,该公司的票务系统如下图所示:

福特汽车漏洞1.png

福特的内部票务系统暴露给研究人员

要利用该漏洞,攻击者首先必须访问配置错误的Pega Chat Access Group门户实例的后端Web面板:

www.rpa-pega-1.ford.com/prweb/PRCha…

bD8qH*****bIw4Prb/!RPACHAT/$STANDARD...

正如BleepingComputer所见,作为URL参数提供的不同负载可以使攻击者运行查询、检索数据库表、OAuth访问令牌和执行管理操作。

研究人员表示,一些暴露的资产包含敏感的个人身份信息 (PII),包括:

客户和员工记录

财务账号

数据库名称和表

OAuth访问令牌

内部支持票

组织内的用户个人资料

脉冲动作

内部接口

搜索栏历史

“影响规模很大,攻击者可以利用被破坏的访问控制中发现的漏洞,获取大量敏感记录,进行账户接管,并获取大量数据。”威利斯在一篇博客文章中写道。

花了六个月的时间“强制披露”

今年2月研究人员向Pega报告了他们的发现,他们相对较快地修复了聊天门户中的CVE。大约在同一时间,这个问题也通过他们的HackerOne漏洞披露计划报告给了福特。但漏洞事项推进缓慢。

以下是暴露的许多内容:

客户数据库

员工记录

内部票务系统

OAuth令牌

请求信息

财务……

大约有8页的数据库表因此很难完整表达。

一份分享给BleepingComputer的披露报告副本显示,福特没有对具体的安全相关行动发表评论。

尽管福特在报告发布后24小时内将这些终端下线,但研究人员在同一份报告中评论称,在报告发布后这些终端仍然可以访问。目前尚不清楚是否有任何威胁行为者利用该漏洞破坏福特的系统,或者是否访问了敏感的客户/员工PII。

超过六成的安全漏洞与代码有关,而面对日益增加的网络攻击,减少安全漏洞加强软件安全,已成为每个企业都应重视的首要问题。数据显示,在软件开发过程中通过静态代码检测技术可以帮助企业减少30%-70%的安全漏洞。同时不需要执行代码即可检测出运行时缺陷及代码缺陷。此外能够快速准确检测所有的代码级别可执行路径组合,覆盖全面。从企业角度来说,在研发阶段开始找到并修复多种问题,可以帮助开发人员节省大量时间、人力成本,而且帮助企业造成尽可能少的经济损失。

参读链接:

www.bleepingcomputer.com/news/securi…