近日，福特汽車被曝存在一個較為嚴(yán)重的安全漏洞，黑客可通過該漏洞訪問其配置錯誤的Pega Infinity系統(tǒng)，從而獲取包括客戶數(shù)據(jù)庫、員工記錄、內(nèi)部票證等在內(nèi)的專有數(shù)據(jù)信息。黑客還可以借此執(zhí)行賬戶接管操作。

　　從數(shù)據(jù)泄露到賬戶接管

　　該漏洞由Robert Willis 和 break3r發(fā)現(xiàn)， 并得到了Sakura Samurai組織成員Aubrey Cottle、Jackson Henry和John Jackson的進(jìn)一步驗(yàn)證和支持 。

　　該問題是由CVE-2021-27653漏洞引起的，它是一個信息泄露漏洞，存在于福特公司配置不當(dāng)?shù)腜ega Infinity客戶管理系統(tǒng)中。研究人員分享了該系統(tǒng)和數(shù)據(jù)庫的許多截圖。例如，該公司的票務(wù)系統(tǒng)如下圖所示：

　　福特的內(nèi)部票務(wù)系統(tǒng)

　　要利用該漏洞，攻擊者首先必須訪問配置錯誤的Pega Chat Access Group用戶的后端Web面板：

　　作為URL參數(shù)提供的不同負(fù)載可能使攻擊者能夠運(yùn)行查詢、檢索數(shù)據(jù)庫表、獲取OAuth訪問令牌和執(zhí)行管理操作。

　　研究人員表示，泄露的數(shù)據(jù)資產(chǎn)包含敏感的個人身份信息：

　　客戶和員工記錄

　　財(cái)務(wù)賬號

　　數(shù)據(jù)庫名稱和表

　　OAuth訪問令牌

　　內(nèi)部支持票

　　組織內(nèi)的用戶個人資料

　　脈沖動作

　　內(nèi)部接口

　　搜索欄歷史

　　耗時(shí)六個月才被披露

　　早在2021年2月，研究人員就向Pega報(bào)告了他們的發(fā)現(xiàn)，并盡快地修復(fù)了聊天門戶中的CVE漏洞。大約在同一時(shí)間，這個問題也通過他們的HackerOne漏洞披露計(jì)劃報(bào)告給了福特。

　　Jackson表示，隨著披露時(shí)間表的進(jìn)一步推進(jìn)，研究人員在發(fā)布有關(guān)該漏洞的推文后收到了HackerOne的回復(fù)，但沒有提供任何敏感細(xì)節(jié)：

　　研究人員等待了六個月后才得到了該漏洞的披露詳情。目前，福特的漏洞披露計(jì)劃不提供金錢激勵或漏洞獎勵，因此根據(jù)公共利益進(jìn)行協(xié)調(diào)披露是研究人員希望的唯一“獎勵”。

　　目前，福特并沒有對本次事件的特定安全相關(guān)行為發(fā)表評論。雖然福特宣稱在接到報(bào)告后24小時(shí)內(nèi)關(guān)閉了端點(diǎn)，但研究人員指出，他們在福特宣稱關(guān)閉了端點(diǎn)之后發(fā)現(xiàn)此端點(diǎn)仍可訪問，并要求福特再次審查并采取緩解措施。

　　目前尚不清楚是否有任何攻擊者利用該漏洞破壞福特的系統(tǒng)，或者是否訪問了客戶或福特員工的個人身份信息。