馃槑 60% Descuento:  Curso de Hacking Redes Inal谩mbricas >> Ver M谩s

Vulnerabilidad en sistemas internos de Ford expuso datos de clientes y empleados

Una vulnerabilidad en el sitio web de Ford Motor Company permiti贸 acceder a sistemas sensibles y obtener datos privados como bases de datos de clientes, registros de empleados, tickets internos, etc.

La exposici贸n de los datos se debi贸 a una instancia mal configurada del sistema de Customer engagement Pega Infinity que se ejecuta en los servidores de Ford.

Desde la exfiltraci贸n de datos hasta la apropiaci贸n de cuentas

La semana pasada, los investigadores revelaron una vulnerabilidad encontrada en el sitio web de Ford. La vulnerabilidad les permiti贸 echar un vistazo a los registros confidenciales de la empresa, las bases de datos y realizar adquisiciones de cuentas.

La vulnerabilidad fue descubierta por Robert Willis y break3r. Asimismo, fue validada y testeada por miembros del grupo de hacking 茅tico Sakura Samurai: Aubrey Cottle, Jackson Henry y John Jackson.

El problema es causado por CVE-2021-27653. CVE-2021-27653 es una vulnerabilidad de exposici贸n de informaci贸n en   instancias del sistema de administraci贸n de clientes de Pega Infinity configuradas incorrectamente.

Los investigadores compartieron muchas capturas de pantalla de los sistemas internos y las bases de datos de Ford con diferentes medios de comunicaci贸n. Por ejemplo, el sistema de tickets de la empresa lo puedes observar a continuaci贸n:

Para aprovechar el problema, un atacante primero tendr铆a que acceder al panel web backend de una instancia del portal Pega Chat Access Group mal configurada:

https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/
bD8qH******bIw4Prb*/!RPACHAT/$STANDARD...

Como lo observamos, diferentes payloads proporcionados como argumentos de URL podr铆an permitir a los atacantes ejecutar consultas, recuperar tablas de bases de datos, tokens de acceso OAuth y realizar acciones administrativas.

Los investigadores afirman que algunos de los activos expuestos conten铆an informaci贸n de identificaci贸n personal (PII) sensible e inclu铆an:

  • Registros de clientes y empleados
  • N煤meros de cuenta bancaria
  • Nombres y tablas de bases de datos
  • Tokens de acceso de OAuth
  • Tickets de soporte interno
  • Perfiles de usuario dentro de la organizaci贸n
  • Interfaces internas
  • Historial de la barra de b煤squeda

“El impacto fue a gran escala. Los atacantes podr铆an utilizar las vulnerabilidades identificadas en el control de acceso da帽ado y obtener tesoros de registros confidenciales. Adem谩s, podr铆an realizar adquisiciones de cuentas y obtener una cantidad sustancial de datos”.

Declaraciones de Robert Willis en su blog.

Fue necesario esperar 6 meses para realizar la divulgaci贸n

En febrero de 2021, los investigadores informaron sus hallazgos a Pega que arreglaron el CVE en su portal de chat con relativa rapidez.

El problema tambi茅n se inform贸 a Ford casi al mismo tiempo a trav茅s de su programa de divulgaci贸n de vulnerabilidades HackerOne.

Sin embargo, los investigadores le dijeron que la comunicaci贸n de Ford era d茅bil y se desvaneci贸 a medida que avanzaba el cronograma de divulgaci贸n responsable:

“En un momento dado, dejaron de responder por completo a nuestras preguntas. Se necesit贸 la mediaci贸n de HackerOne para obtener una respuesta inicial sobre nuestra presentaci贸n de vulnerabilidad de Ford”.

Declaraciones de John Jackson en una entrevista por correo electr贸nico.

Jackson afirma que a medida que avanzaba la l铆nea de tiempo de la divulgaci贸n, los investigadores recibieron respuesta de HackerOne. Esto ocurri贸 despu茅s de tuitear sobre la vulnerabilidad, pero sin dar detalles confidenciales:

Sin respuesta de Ford

“Cuando se marc贸 la vulnerabilidad como resuelta, Ford ignor贸 nuestra solicitud de divulgaci贸n. Posteriormente, la mediaci贸n de HackerOne ignor贸 nuestra solicitud de ayuda para la divulgaci贸n, que se puede ver en el PDF”.

“Tuvimos que esperar los seis meses completos para forzar la divulgaci贸n seg煤n la pol铆tica de HackerOne por temor a la ley y las repercusiones negativas”, continu贸 Jackson.

En este momento, el programa de divulgaci贸n de vulnerabilidades de Ford no ofrece incentivos monetarios ni recompensas por errores. Por lo tanto, una divulgaci贸n coordinada a la luz del inter茅s p煤blico era la 煤nica “recompensa” que esperaban los investigadores.

Una copia del informe de divulgaci贸n compartido p煤blicamente indica que Ford se abstuvo de comentar sobre acciones espec铆ficas relacionadas con la seguridad.

“Los hallazgos que enviaron … se consideran privados. Estos informes de vulnerabilidad est谩n destinados a evitar compromisos que pueden requerir divulgaci贸n”.

En este escenario, el sistema se desconect贸 poco despu茅s de que se enviaron los hallazgos a HackerOn, comparti贸 Ford con HackerOne y los investigadores, seg煤n la discusi贸n en el PDF.

Aunque Ford desconect贸 los puntos finales dentro de las 24 horas posteriores al informe, los investigadores comentan en el mismo informe que los puntos finales permanecieron accesibles incluso despu茅s, y solicitaron otra revisi贸n y correcci贸n.

A煤n no se sabe si alg煤n actor de amenazas explot贸 la vulnerabilidad para vulnerar los sistemas en Ford. Tampoco sabemos si se accedi贸 a la informaci贸n personal confidencial de los clientes y empleados.

Hasta el cierre de este articulo y a pesar de varias solicitudes, Ford no ha realizado ning煤n comentario sobre la vulnerabilidad reportada.

Deja un comentario

Adquiere tu Membres铆a Anual Wiser

Adquiere tu Membres铆a Anual Wiser y adquiere grandes beneficios

M谩s informaci贸n