Ford: Επέτρεπε την παραβίαση δεδομένων πελατών και εργαζομένων
Ένα σφάλμα στο site της Ford Motor Company επέτρεπε την πρόσβαση τρίτων σε σημαντικά συστήματα και την παραβίαση ευαίσθητων δεδομένων (βάσεις δεδομένω
Ένα σφάλμα στο site της Ford Motor Company επέτρεπε την πρόσβαση τρίτων σε σημαντικά συστήματα και την παραβίαση ευαίσθητων δεδομένων (βάσεις δεδομένων πελατών, αρχεία εργαζομένων, εσωτερικά tickets κ.λπ). Το πρόβλημα προήλθε από μια εσφαλμένη διαμόρφωση του Pega Infinity customer engagement system που εκτελείται στους διακομιστές της Ford. Το ζήτημα ασφαλείας προκαλείται από το CVE-2021-27653, μια ευπάθεια που επιτρέπει την αποκάλυψη πληροφοριών σε Pega Infinity customer management system instances, που δεν είναι διαμορφωμένα σωστά. Για να εκμεταλλευτεί την ευπάθεια ένας εισβολέας, θα πρέπει πρώτα να αποκτήσει πρόσβαση στο backend web panel ενός μη σωστού Pega Chat Access Group portal instance.Διαφορετικά payloads που παρέχονται ως URL arguments, θα μπορούσαν να επιτρέψουν στους εισβολείς να εκτελέσουν queries, να ανακτήσουν βάσεις δεδομένων, OAuth access tokens και να εκτελέσουν ενέργειες σε επίπεδο διαχειριστή.
Οι ερευνητές δηλώνουν ότι ορισμένα από τα εκτεθειμένα στοιχεία περιείχαν ευαίσθητες προσωπικές πληροφορίες, όπως:
Αρχεία πελατών και εργαζομένων
Αριθμούς λογαριασμών
Ονόματα και πίνακες βάσεων δεδομένων
OAuth access tokens
Εσωτερικά tickets
Προφίλ χρηστών εντός του οργανισμού
Pulse actions
Εσωτερικά interfaces“Οι επιτιθέμενοι μπορούσαν να χρησιμοποιήσουν τα τρωτά σημεία που εντοπίστηκαν και να αποκτήσουν πληθώρα ευαίσθητων αρχείων, να πραγματοποιήσουν account takeover επιθέσεις και να λάβουν σημαντικό αριθμό δεδομένων“,
Οι ερευνητές είχαν αναφέρει τα συμπεράσματά τους στην Pega ήδη από τον Φεβρουάριο του 2021, και η ευπάθεια διορθώθηκε σχετικά γρήγορα. Το ζήτημα αναφέρθηκε επίσης στη Ford περίπου την ίδια στιγμή μέσω του προγράμματος αποκάλυψης ευπαθειών HackerOne. Ωστόσο, οι ερευνητές είπαν ότι η επικοινωνία με τη Ford δεν ήταν και η καλύτερη δυνατή: “Κάποια στιγμή, σταμάτησαν εντελώς να απαντούν στις ερωτήσεις μας. Χρειάστηκε η διαμεσολάβηση του HackerOne για να λάβουμε μια απάντηση σχετικά με την υποβολή ευπάθειας“, δήλωσε ο ερευνητής John Jackson στο BleepingComputer. Πέρασαν μήνες για τη δημόσια αποκάλυψη του σφάλματος.Ένα αντίγραφο της αναφοράς που κοινοποιήθηκε στο BleepingComputer υποδεικνύει ότι η Ford απέφυγε να σχολιάσει συγκεκριμένες ενέργειες που σχετίζονται με την ασφάλεια.
secnews.gr
Οι ερευνητές δηλώνουν ότι ορισμένα από τα εκτεθειμένα στοιχεία περιείχαν ευαίσθητες προσωπικές πληροφορίες, όπως:
Αρχεία πελατών και εργαζομένων
Αριθμούς λογαριασμών
Ονόματα και πίνακες βάσεων δεδομένων
OAuth access tokens
Εσωτερικά tickets
Προφίλ χρηστών εντός του οργανισμού
Pulse actions
Εσωτερικά interfaces“Οι επιτιθέμενοι μπορούσαν να χρησιμοποιήσουν τα τρωτά σημεία που εντοπίστηκαν και να αποκτήσουν πληθώρα ευαίσθητων αρχείων, να πραγματοποιήσουν account takeover επιθέσεις και να λάβουν σημαντικό αριθμό δεδομένων“,
Οι ερευνητές είχαν αναφέρει τα συμπεράσματά τους στην Pega ήδη από τον Φεβρουάριο του 2021, και η ευπάθεια διορθώθηκε σχετικά γρήγορα. Το ζήτημα αναφέρθηκε επίσης στη Ford περίπου την ίδια στιγμή μέσω του προγράμματος αποκάλυψης ευπαθειών HackerOne. Ωστόσο, οι ερευνητές είπαν ότι η επικοινωνία με τη Ford δεν ήταν και η καλύτερη δυνατή: “Κάποια στιγμή, σταμάτησαν εντελώς να απαντούν στις ερωτήσεις μας. Χρειάστηκε η διαμεσολάβηση του HackerOne για να λάβουμε μια απάντηση σχετικά με την υποβολή ευπάθειας“, δήλωσε ο ερευνητής John Jackson στο BleepingComputer. Πέρασαν μήνες για τη δημόσια αποκάλυψη του σφάλματος.Ένα αντίγραφο της αναφοράς που κοινοποιήθηκε στο BleepingComputer υποδεικνύει ότι η Ford απέφυγε να σχολιάσει συγκεκριμένες ενέργειες που σχετίζονται με την ασφάλεια.
secnews.gr
Κατηγορίες:
Σχόλια