福特汽车公司出现暴露客户和员工记录的漏洞

据Bleeping Computer报道，8月15日，研究人员披露了在福特网站上发现的一个漏洞，该漏洞可以让浏览者窥视公司机密记录、数据库并且执行帐户接管。研究人员于今年2月向福特报送该漏洞，福特称该漏洞已修复。

数据泄露的根源是福特汽车公司服务器上运行的 Pega Infinity 客户参与系统配置错误。

从数据泄露到账户接管

福特汽车公司网站上存在一个系统漏洞，该漏洞允许浏览者访问敏感系统，并获取包括客户数据库、员工记录、内部票证等专有信息。

漏洞由Robert Willis 和 break3r发现， 并得到了Sakura Samurai白帽组织成员Aubrey Cottle、Jackson Henry和John Jackson 的进一步验证和支持 。

这种问题是由一个名为 CVE-2021-27653 信息泄露漏洞引起的，存在于配置不当的 Pega Infinity 客户管理系统实例中。

研究人员向媒体分享了福特内部系统和数据库的许多截图，例如下图所示的公司票务系统：

福特内部的票务系统

想要利用该漏洞的话，攻击者必须先访问配置错误的 Pega Chat Access Group 门户实例的后端 Web 面板：

https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/
bD8qH******bIw4Prb*/!RPACHAT/$STANDARD…

作为 URL 参数提供的不同负载，可能使攻击者能够运行查询、检索数据库表、OAuth 访问令牌和执行管理操作。

研究人员表示，暴露的资产包含以下所示的一些敏感的个人身份信息 （PII）：

客户和员工记录、财务账号、数据库名称和表、OAuth 访问令牌、内部投票、用户个人资料、

内部接口、搜索栏历史等。

Robert Willis在一篇博客文章中写道， “影响规模很大，攻击者可以利用访问控制中发现的漏洞，获取大量敏感记录，获取大量数据，执行帐户接管。”

用时六个月“强制披露”

2021年2月，研究人员向Pega报告了他们的发现，他们用相对较快的时间修复了聊天门户中的 CVE。大约在同一时间，福特公司也通过HackerOne 漏洞披露计划收到了该漏洞报送。

但是，根据报道，随着漏洞披露时间表的推进，福特的反馈却变得越来越少。

Jackson在电子邮件采访中回应媒体，“有一次，福特汽车公司对我们的问题置之不理，经过HackerOne的调解，我们才得到福特对该漏洞的初步回应。”

Jackson还表示，随着披露时间表的进一步推进，研究人员仅在发布了该漏洞的推文以后，收到了HackerOne的回复，没有包含任何敏感细节：

Jackson在后续的推文中继续说：“当漏洞标记成已经解决后，福特汽车公司忽略了我们的披露请求，随后，HackerOne调解同样忽略了我们的披露请求，这可以在 PDF 中看到“；“出于对法律和负面影响的担忧，我们只能等待整整六个月才能根据HackerOne的政策执行强制披露。“

目前，福特汽车公司的漏洞披露计划没有提供金钱激励或者漏洞奖励，因此根据公众利益进行协调披露是研究人员唯一希望的获得“奖励”。

跟随报道披露出的报告副本显示，福特没有对具体的安全相关行动发表评论。

根据 PDF 中的讨论，福特与HackerOne对研究人员表示：“发现的漏洞在提交给 HackerOne后不久，系统就下线了。”

尽管福特在报告发布后24小时内已经将这些终端下线，但研究人员在同一份报告中评论称，”在报告发布后，这些终端仍然可以访问，要求进行另一次审查和补救。“

目前尚不清楚是否有人员利用该漏洞入侵福特的系统，或者是否访问了客户和员工的敏感数据。

精彩推荐

本文始发于微信公众号（FreeBuf）：福特汽车公司出现暴露客户和员工记录的漏洞