据Bleeping Computer报道,8月15日,研究人员披露了在福特网站上发现的一个漏洞,该漏洞可以让浏览者窥视公司机密记录、数据库并且执行帐户接管。研究人员于今年2月向福特报送该漏洞,福特称该漏洞已修复。
数据泄露的根源是福特汽车公司服务器上运行的 Pega Infinity 客户参与系统配置错误。
从数据泄露到账户接管
福特汽车公司网站上存在一个系统漏洞,该漏洞允许浏览者访问敏感系统,并获取包括客户数据库、员工记录、内部票证等专有信息。
漏洞由Robert Willis 和 break3r发现, 并得到了Sakura Samurai白帽组织成员Aubrey Cottle、Jackson Henry和John Jackson 的进一步验证和支持 。
这种问题是由一个名为 CVE-2021-27653 信息泄露漏洞引起的,存在于配置不当的 Pega Infinity 客户管理系统实例中。
研究人员向媒体分享了福特内部系统和数据库的许多截图,例如下图所示的公司票务系统:
福特内部的票务系统
想要利用该漏洞的话,攻击者必须先访问配置错误的 Pega Chat Access Group 门户实例的后端 Web 面板:
https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/ bD8qH******bIw4Prb*/!RPACHAT/$STANDARD…
作为 URL 参数提供的不同负载,可能使攻击者能够运行查询、检索数据库表、OAuth 访问令牌和执行管理操作。
研究人员表示,暴露的资产包含以下所示的一些敏感的个人身份信息 (PII):
客户和员工记录、财务账号、数据库名称和表、OAuth 访问令牌、内部投票、用户个人资料、 内部接口、搜索栏历史等。
Robert Willis在一篇博客文章中写道, “影响规模很大,攻击者可以利用访问控制中发现的漏洞,获取大量敏感记录,获取大量数据,执行帐户接管。”
用时六个月“强制披露”
2021年2月,研究人员向Pega报告了他们的发现,他们用相对较快的时间修复了聊天门户中的 CVE。大约在同一时间,福特公司也通过HackerOne 漏洞披露计划收到了该漏洞报送。
但是,根据报道,随着漏洞披露时间表的推进,福特的反馈却变得越来越少。
Jackson在电子邮件采访中回应媒体,“有一次,福特汽车公司对我们的问题置之不理,经过HackerOne的调解,我们才得到福特对该漏洞的初步回应。”
Jackson还表示,随着披露时间表的进一步推进,研究人员仅在发布了该漏洞的推文以后,收到了HackerOne的回复,没有包含任何敏感细节:
Jackson在后续的推文中继续说:“当漏洞标记成已经解决后,福特汽车公司忽略了我们的披露请求,随后,HackerOne调解同样忽略了我们的披露请求,这可以在 PDF 中看到“;“出于对法律和负面影响的担忧,我们只能等待整整六个月才能根据HackerOne的政策执行强制披露。“
目前,福特汽车公司的漏洞披露计划没有提供金钱激励或者漏洞奖励,因此根据公众利益进行协调披露是研究人员唯一希望的获得“奖励”。
跟随报道披露出的报告副本显示,福特没有对具体的安全相关行动发表评论。
根据 PDF 中的讨论,福特与HackerOne对研究人员表示:“发现的漏洞在提交给 HackerOne后不久,系统就下线了。”
尽管福特在报告发布后24小时内已经将这些终端下线,但研究人员在同一份报告中评论称,”在报告发布后,这些终端仍然可以访问,要求进行另一次审查和补救。“
目前尚不清楚是否有人员利用该漏洞入侵福特的系统,或者是否访问了客户和员工的敏感数据。