Ένα σφάλμα στην ιστοσελίδα της Ford Motor Company επέτρεψε την πρόσβαση σε ευαίσθητα συστήματα και τη λήψη δεδομένων βιομηχανικής ιδιοκτησίας, όπως βάσεις δεδομένων των πελατών, τα αρχεία των εργαζομένων, εσωτερική εισιτήρια, κλπ
Η έκθεση των δεδομένων προήλθε από μια λανθασμένη εμφάνιση του Pega Σύστημα αφοσίωσης πελατών Infinity που λειτουργεί στους διακομιστές της Ford.
Από την εξαφάνιση δεδομένων έως την εξαγορά λογαριασμών
Αυτή την εβδομάδα, οι ερευνητές αποκάλυψαν μια ευπάθεια που βρέθηκε στον ιστότοπο της Ford που τους επέτρεψε να κοιτάξουν εμπιστευτικά αρχεία της εταιρείας, βάσεις δεδομένων και να πραγματοποιήσουν εξαγορές λογαριασμών.
Το θέμα ευπάθειας ανακαλύφθηκε από τον Robert Willis και το break3r, με περαιτέρω επικύρωση και υποστήριξη από μέλη της Sakura Samurai.
Το ζήτημα προκαλείται από το CVE-2021-27653, μια ευπάθεια έκθεσης πληροφοριών σε ακατάλληλα διαμορφωμένες περιπτώσεις διαχείρισης πελατών Pega Infinity.
Οι ερευνητές μοιράστηκαν πολλά στιγμιότυπα οθόνης των εσωτερικών συστημάτων και βάσεων δεδομένων της Ford με το BleepingComputer. Για παράδειγμα, το σύστημα έκδοσης εισιτηρίων της εταιρείας φαίνεται παρακάτω:
Το εσωτερικό σύστημα εισιτηρίων της Ford εκτεθειμένο σε ερευνητές
Για να εκμεταλλευτεί το πρόβλημα, ένας εισβολέας θα πρέπει πρώτα να έχει πρόσβαση στο πάνελ ιστού ενός παραπλανημένου παραδείγματος της πύλης Pega Chat Access Group:
https: // www. rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/
bD8qH ****** bIw4Prb * /! RPACHAT / $ STANDARD …
όπως φαίνεται από BleepingComputer, διαφορετικά ωφέλιμα φορτία που παρέχονται ως επιχειρήματα URL θα μπορούσε να επιτρέψει σε χάκερ για εκτέλεση ερωτημάτων, ανάκτηση πινάκων βάσεων δεδομένων, διακριτικών πρόσβασης OAuth και εκτέλεση διαχειριστικών ενεργειών.
Οι ερευνητές δηλώνουν ότι ορισμένα από τα εκτεθειμένα περιουσιακά στοιχεία περιείχαν ευαίσθητες Προσωπικές Πληροφορίες (PII) και περιλάμβαναν:
- Αρχεία πελατών και εργαζομένων
- Αριθμοί λογαριασμών οικονομικών
- Ονόματα βάσεων δεδομένων και πίνακες
- OUuth μάρκες πρόσβασης
- Εσωτερικά εισιτήρια υποστήριξης
- Προφίλ χρηστών στον οργανισμό
- Παλμικές ενέργειες
- Εσωτερικές διεπαφές
- Ιστορικό γραμμής αναζήτησης
“Ο αντίκτυπος ήταν μεγάλης κλίμακας. Οι επιτιθέμενοι μπορούσαν να χρησιμοποιήσουν τα τρωτά σημεία που εντοπίστηκαν στο σπασμένο έλεγχο πρόσβασης και να αποκτήσουν πληθώρα ευαίσθητων αρχείων, να πραγματοποιήσουν εξαγορές λογαριασμών και να λάβουν σημαντικό αριθμό δεδομένων”, γράφει ο Willis σε μια ανάρτηση ιστολογίου.