Vulnerabilidad en sistemas internos de Ford expuso datos de clientes y empleados
Una vulnerabilidad en el sitio web de Ford Motor Company permitió acceder a sistemas sensibles y obtener datos privados como bases de datos de clientes, registros de empleados, tickets internos, etc.
La exposición de los datos se debió a una instancia mal configurada del sistema de Customer engagement Pega Infinity que se ejecuta en los servidores de Ford.
Desde la exfiltración de datos hasta la apropiación de cuentas
La semana pasada, los investigadores revelaron una vulnerabilidad encontrada en el sitio web de Ford. La vulnerabilidad les permitió echar un vistazo a los registros confidenciales de la empresa, las bases de datos y realizar adquisiciones de cuentas.
La vulnerabilidad fue descubierta por Robert Willis y break3r. Asimismo, fue validada y testeada por miembros del grupo de hacking ético Sakura Samurai: Aubrey Cottle, Jackson Henry y John Jackson.
El problema es causado por CVE-2021-27653. CVE-2021-27653 es una vulnerabilidad de exposición de información en instancias del sistema de administración de clientes de Pega Infinity configuradas incorrectamente.
Los investigadores compartieron muchas capturas de pantalla de los sistemas internos y las bases de datos de Ford con diferentes medios de comunicación. Por ejemplo, el sistema de tickets de la empresa lo puedes observar a continuación:
Para aprovechar el problema, un atacante primero tendría que acceder al panel web backend de una instancia del portal Pega Chat Access Group mal configurada:
https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/
bD8qH******bIw4Prb*/!RPACHAT/$STANDARD...
Como lo observamos, diferentes payloads proporcionados como argumentos de URL podrían permitir a los atacantes ejecutar consultas, recuperar tablas de bases de datos, tokens de acceso OAuth y realizar acciones administrativas.
Los investigadores afirman que algunos de los activos expuestos contenían información de identificación personal (PII) sensible e incluían:
- Registros de clientes y empleados
- Números de cuenta bancaria
- Nombres y tablas de bases de datos
- Tokens de acceso de OAuth
- Tickets de soporte interno
- Perfiles de usuario dentro de la organización
- Interfaces internas
- Historial de la barra de búsqueda
“El impacto fue a gran escala. Los atacantes podrían utilizar las vulnerabilidades identificadas en el control de acceso dañado y obtener tesoros de registros confidenciales. Además, podrían realizar adquisiciones de cuentas y obtener una cantidad sustancial de datos”.
Declaraciones de Robert Willis en su blog.
Fue necesario esperar 6 meses para realizar la divulgación
En febrero de 2021, los investigadores informaron sus hallazgos a Pega que arreglaron el CVE en su portal de chat con relativa rapidez.
El problema también se informó a Ford casi al mismo tiempo a través de su programa de divulgación de vulnerabilidades HackerOne.
Sin embargo, los investigadores le dijeron que la comunicación de Ford era débil y se desvaneció a medida que avanzaba el cronograma de divulgación responsable:
“En un momento dado, dejaron de responder por completo a nuestras preguntas. Se necesitó la mediación de HackerOne para obtener una respuesta inicial sobre nuestra presentación de vulnerabilidad de Ford”.
Declaraciones de John Jackson en una entrevista por correo electrónico.
Jackson afirma que a medida que avanzaba la línea de tiempo de la divulgación, los investigadores recibieron respuesta de HackerOne. Esto ocurrió después de tuitear sobre la vulnerabilidad, pero sin dar detalles confidenciales:
Sin respuesta de Ford
“Cuando se marcó la vulnerabilidad como resuelta, Ford ignoró nuestra solicitud de divulgación. Posteriormente, la mediación de HackerOne ignoró nuestra solicitud de ayuda para la divulgación, que se puede ver en el PDF”.
“Tuvimos que esperar los seis meses completos para forzar la divulgación según la política de HackerOne por temor a la ley y las repercusiones negativas”, continuó Jackson.
En este momento, el programa de divulgación de vulnerabilidades de Ford no ofrece incentivos monetarios ni recompensas por errores. Por lo tanto, una divulgación coordinada a la luz del interés público era la única “recompensa” que esperaban los investigadores.
Una copia del informe de divulgación compartido públicamente indica que Ford se abstuvo de comentar sobre acciones específicas relacionadas con la seguridad.
“Los hallazgos que enviaron … se consideran privados. Estos informes de vulnerabilidad están destinados a evitar compromisos que pueden requerir divulgación”.
En este escenario, el sistema se desconectó poco después de que se enviaron los hallazgos a HackerOn, compartió Ford con HackerOne y los investigadores, según la discusión en el PDF.
Aunque Ford desconectó los puntos finales dentro de las 24 horas posteriores al informe, los investigadores comentan en el mismo informe que los puntos finales permanecieron accesibles incluso después, y solicitaron otra revisión y corrección.
Aún no se sabe si algún actor de amenazas explotó la vulnerabilidad para vulnerar los sistemas en Ford. Tampoco sabemos si se accedió a la información personal confidencial de los clientes y empleados.
Hasta el cierre de este articulo y a pesar de varias solicitudes, Ford no ha realizado ningún comentario sobre la vulnerabilidad reportada.