福特汽車公司網(wǎng)站上的一個漏洞允許訪問敏感系統(tǒng)并獲取專有數(shù)據(jù)，例如客戶數(shù)據(jù)庫、員工記錄、內(nèi)部票證等。

　　數(shù)據(jù)泄露源于福特服務器上運行的Pega Infinity客戶參與系統(tǒng)的錯誤配置實例。

　　從數(shù)據(jù)泄露到賬戶接管

　　本周，研究人員披露了在福特網(wǎng)站上發(fā)現(xiàn)的一個漏洞，讓他們可以窺視公司機密記錄、數(shù)據(jù)庫并執(zhí)行帳戶接管。

　　該漏洞由Robert Willis和break3r發(fā)現(xiàn)， 并得到了Sakura Samurai白帽子黑客組織成員Aubrey Cottle、Jackson Henry和John Jackson 的進一步驗證和支持 。

　　該問題是由CVE-2021-27653引起的，這是一個信息泄露漏洞，存在于配置不當?shù)腜ega Infinity客戶管理系統(tǒng)實例中。

　　研究人員與外媒分享了福特內(nèi)部系統(tǒng)和數(shù)據(jù)庫的許多截圖。例如，該公司的票務系統(tǒng)如下圖所示：

　　圖片福特的內(nèi)部票務系統(tǒng)暴露給研究人員

　　要利用該問題，攻擊者首先必須訪問配置錯誤的Pega Chat Access Group 門戶實例的后端 Web 面板：

　　https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/

　　bD8qH******bIw4Prb*/!RPACHAT/$STANDARD…

　　正如我們所見，作為URL參數(shù)提供的不同負載可能使攻擊者能夠運行查詢、檢索數(shù)據(jù)庫表、OAuth 訪問令牌和執(zhí)行管理操作。

　　研究人員表示，一些暴露的資產(chǎn)包含敏感的個人身份信息 （PII），包括：

　　客戶和員工記錄

　　財務賬號

　　數(shù)據(jù)庫名稱和表

　　OAuth訪問令牌

　　內(nèi)部支持票

　　組織內(nèi)的用戶個人資料

　　脈沖動作

　　內(nèi)部接口

　　搜索欄歷史

　　“影響規(guī)模很大。攻擊者可以利用在被破壞的訪問控制中發(fā)現(xiàn)的漏洞，獲取大量敏感記錄，執(zhí)行帳戶接管，并獲取大量數(shù)據(jù)，”威利斯在一篇博客文章中寫道。

　　花了六個月的時間“強制披露”

　　2021年2月，研究人員向Pega報告了他們的發(fā)現(xiàn)，他們相對較快地修復了聊天門戶中的CVE。大約在同一時間，這個問題也通過他們的HackerOne漏洞披露計劃報告給了福特。

　　但是，研究人員透露，隨著負責任的披露時間表的推進，來自福特的交流變得越來越少：

　　“有一次，他們完全停止回答我們的問題。經(jīng)過HackerOne的調(diào)解，我們才得到福特對我們提交的漏洞的初步回應，”約翰杰克遜在電子郵件采訪中透露。

　　杰克遜表示，隨著披露時間表的進一步推進，研究人員僅在發(fā)布有關(guān)該漏洞的推文后才收到HackerOne的回復，但沒有提供任何敏感細節(jié)：

　　“當漏洞被標記為已解決時，福特忽略了我們的披露請求。隨后，HackerOne 調(diào)解忽略了我們的幫助披露請求，這可以在PDF中看到?！薄俺鲇趯Ψ珊拓撁嬗绊懙目謶?，我們不得不等待整整六個月才能根據(jù)HackerOne的政策強制披露，”杰克遜繼續(xù)說道。目前，福特的漏洞披露計劃不提供金錢激勵或漏洞獎勵，因此根據(jù)公眾利益進行協(xié)調(diào)披露是研究人員唯一希望的“獎勵”。

　　與外界共享的披露報告副本表明，福特沒有對特定的安全相關(guān)行為發(fā)表評論。“你提交的調(diào)查結(jié)果……被認為是私人的。這些漏洞報告旨在防止可能需要披露的妥協(xié)。”根據(jù)PDF中的討論，福特與HackerOne和研究人員分享說：“在這種情況下，系統(tǒng)在您將發(fā)現(xiàn)提交給HackerOne后不久就離線了?！?/p>

　　盡管端點在報告后24小時內(nèi)被福特下線，但研究人員在同一份報告中評論說，即使在此之后端點仍然可以訪問，并要求再次審查和補救。目前尚不清楚是否有任何威脅行為者利用該漏洞破壞福特的系統(tǒng)，或者是否訪問了敏感的客戶/員工 PII。

　　福特對此未對外界進行置評。