近日,福特汽车被曝存在一个较为严重的安全漏洞,黑客可通过该漏洞访问其配置错误的Pega Infinity系统,从而获取包括客户数据库、员工记录、内部票证等在内的专有数据信息。黑客还可以借此执行账户接管操作。
从数据泄露到账户接管
该漏洞由Robert Willis 和 break3r发现, 并得到了Sakura Samurai组织成员Aubrey Cottle、Jackson Henry和John Jackson的进一步验证和支持 。
该问题是由CVE-2021-27653漏洞引起的,它是一个信息泄露漏洞,存在于福特公司配置不当的Pega Infinity客户管理系统中。研究人员分享了该系统和数据库的许多截图。例如,该公司的票务系统如下图所示:
福特的内部票务系统
要利用该漏洞,攻击者首先必须访问配置错误的Pega Chat Access Group用户的后端Web面板:
作为URL参数提供的不同负载可能使攻击者能够运行查询、检索数据库表、获取OAuth访问令牌和执行管理操作。
研究人员表示,泄露的数据资产包含敏感的个人身份信息:
耗时六个月才被披露
早在2021年2月,研究人员就向Pega报告了他们的发现,并尽快地修复了聊天门户中的CVE漏洞。大约在同一时间,这个问题也通过他们的HackerOne漏洞披露计划报告给了福特。
Jackson表示,随着披露时间表的进一步推进,研究人员在发布有关该漏洞的推文后收到了HackerOne的回复,但没有提供任何敏感细节:
研究人员等待了六个月后才得到了该漏洞的披露详情。目前,福特的漏洞披露计划不提供金钱激励或漏洞奖励,因此根据公共利益进行协调披露是研究人员希望的唯一“奖励”。
目前,福特并没有对本次事件的特定安全相关行为发表评论。虽然福特宣称在接到报告后24小时内关闭了端点,但研究人员指出,他们在福特宣称关闭了端点之后发现此端点仍可访问,并要求福特再次审查并采取缓解措施。
目前尚不清楚是否有任何攻击者利用该漏洞破坏福特的系统,或者是否访问了客户或福特员工的个人身份信息。
参考资料