ΚΟΥΡΗΤΗΣ: Ο ΚΥΡΙΟΣ ΛΟΓΟΣ ΠΟΥ ΣΥΜΒΑΙΝΟΥΝ ΟΛΑ ΑΥΤΑ ΕΙΝΑΙ ΔΙΟΤΙ ΦΟΡΤΩΝΟΥΝ ΤΙΣ ΣΕΛΙΔΕΣ ΤΟΥΣ ΜΕ ΠΕΡΙΤΤΕΣ, ΑΧΡΕΙΑΣΤΕΣ "ΜΑΛΑΚΙΕΣ" ΠΟΥ ΕΙΣΗΓΟΥΝΤΑΙ ΨΗΦΙΑΚΑ ΑΝΑΛΦΑΒΗΤΟΙ "ΜΑΡΚΕΤΙΣΤΕΣ". ΘΑ ΕΠΡΕΠΕ ΚΑΘΕ ΦΟΡΑ ΠΟΥ ΠΑΡΑΤΗΡΟΥΝΤΑΙ ΤΕΤΟΙΑ, ΟΙ ΥΠΕΥΘΥΝΟΙ ΝΑ "ΕΚΤΕΛΟΥΝΤΑΙ" ΟΙΚΟΝΟΜΙΚΩΣ. ΝΑ ΔΕΙΤΕ ΠΟΥ ΟΛΟΙ ΘΑ ΦΡΟΝΤΙΖΑΝ ΠΟΛΥ ΠΕΡΙΣΣΟΤΕΡΟ ΤΙ ΣΚΑΤΑ ΣΕΡΒΙΡΟΥΝ ΜΕ ΤΙΣ ΣΕΛΙΔΕΣ ΤΟΥΣ ΚΑΙ ΘΑ ΑΓΩΝΙΟΥΣΑΝ ΝΑ ΤΙΣ ΚΑΝΟΥΝ ΠΙΟ ΑΣΦΑΛΕΙΣ.
Ένα σφάλμα στο site της Ford Motor Company επέτρεπε την πρόσβαση τρίτων σε σημαντικά συστήματα και την παραβίαση ευαίσθητων δεδομένων (βάσεις δεδομένων πελατών, αρχεία εργαζομένων, εσωτερικά tickets κ.λπ). Το πρόβλημα προήλθε από μια εσφαλμένη διαμόρφωση του Pega Infinity customer engagement system που εκτελείται στους διακομιστές της Ford. Το ζήτημα ασφαλείας προκαλείται από το CVE-2021-27653, μια ευπάθεια που επιτρέπει την αποκάλυψη πληροφοριών σε Pega Infinity customer management system instances, που δεν είναι διαμορφωμένα σωστά. Για να εκμεταλλευτεί την ευπάθεια ένας εισβολέας, θα πρέπει πρώτα να αποκτήσει πρόσβαση στο backend web panel ενός μη σωστού Pega Chat Access Group portal instance.Διαφορετικά payloads που παρέχονται ως URL arguments, θα μπορούσαν να επιτρέψουν στους εισβολείς να εκτελέσουν queries, να ανακτήσουν βάσεις δεδομένων, OAuth access tokens και να εκτελέσουν ενέργειες σε επίπεδο διαχειριστή.
Οι ερευνητές δηλώνουν ότι ορισμένα από τα εκτεθειμένα στοιχεία περιείχαν ευαίσθητες προσωπικές πληροφορίες, όπως:
Οι ερευνητές είχαν αναφέρει τα συμπεράσματά τους στην Pega ήδη από τον Φεβρουάριο του 2021, και η ευπάθεια διορθώθηκε σχετικά γρήγορα. Το ζήτημα αναφέρθηκε επίσης στη Ford περίπου την ίδια στιγμή μέσω του προγράμματος αποκάλυψης ευπαθειών HackerOne. Ωστόσο, οι ερευνητές είπαν ότι η επικοινωνία με τη Ford δεν ήταν και η καλύτερη δυνατή: “Κάποια στιγμή, σταμάτησαν εντελώς να απαντούν στις ερωτήσεις μας. Χρειάστηκε η διαμεσολάβηση του HackerOne για να λάβουμε μια απάντηση σχετικά με την υποβολή ευπάθειας“, δήλωσε ο ερευνητής John Jackson στο BleepingComputer. Πέρασαν μήνες για τη δημόσια αποκάλυψη του σφάλματος.Ένα αντίγραφο της αναφοράς που κοινοποιήθηκε στο BleepingComputer υποδεικνύει ότι η Ford απέφυγε να σχολιάσει συγκεκριμένες ενέργειες που σχετίζονται με την ασφάλεια.
https://www.secnews.gr/363782/ford-bug-paraviasi-dedomenon-pelaton-ergazomenon/
Ένα σφάλμα στο site της Ford Motor Company επέτρεπε την πρόσβαση τρίτων σε σημαντικά συστήματα και την παραβίαση ευαίσθητων δεδομένων (βάσεις δεδομένων πελατών, αρχεία εργαζομένων, εσωτερικά tickets κ.λπ). Το πρόβλημα προήλθε από μια εσφαλμένη διαμόρφωση του Pega Infinity customer engagement system που εκτελείται στους διακομιστές της Ford. Το ζήτημα ασφαλείας προκαλείται από το CVE-2021-27653, μια ευπάθεια που επιτρέπει την αποκάλυψη πληροφοριών σε Pega Infinity customer management system instances, που δεν είναι διαμορφωμένα σωστά. Για να εκμεταλλευτεί την ευπάθεια ένας εισβολέας, θα πρέπει πρώτα να αποκτήσει πρόσβαση στο backend web panel ενός μη σωστού Pega Chat Access Group portal instance.Διαφορετικά payloads που παρέχονται ως URL arguments, θα μπορούσαν να επιτρέψουν στους εισβολείς να εκτελέσουν queries, να ανακτήσουν βάσεις δεδομένων, OAuth access tokens και να εκτελέσουν ενέργειες σε επίπεδο διαχειριστή.
Οι ερευνητές δηλώνουν ότι ορισμένα από τα εκτεθειμένα στοιχεία περιείχαν ευαίσθητες προσωπικές πληροφορίες, όπως:
- Αρχεία πελατών και εργαζομένων
- Αριθμούς λογαριασμών
- Ονόματα και πίνακες βάσεων δεδομένων
- OAuth access tokens
- Εσωτερικά tickets
- Προφίλ χρηστών εντός του οργανισμού
- Pulse actions
- Εσωτερικά interfaces
Οι ερευνητές είχαν αναφέρει τα συμπεράσματά τους στην Pega ήδη από τον Φεβρουάριο του 2021, και η ευπάθεια διορθώθηκε σχετικά γρήγορα. Το ζήτημα αναφέρθηκε επίσης στη Ford περίπου την ίδια στιγμή μέσω του προγράμματος αποκάλυψης ευπαθειών HackerOne. Ωστόσο, οι ερευνητές είπαν ότι η επικοινωνία με τη Ford δεν ήταν και η καλύτερη δυνατή: “Κάποια στιγμή, σταμάτησαν εντελώς να απαντούν στις ερωτήσεις μας. Χρειάστηκε η διαμεσολάβηση του HackerOne για να λάβουμε μια απάντηση σχετικά με την υποβολή ευπάθειας“, δήλωσε ο ερευνητής John Jackson στο BleepingComputer. Πέρασαν μήνες για τη δημόσια αποκάλυψη του σφάλματος.Ένα αντίγραφο της αναφοράς που κοινοποιήθηκε στο BleepingComputer υποδεικνύει ότι η Ford απέφυγε να σχολιάσει συγκεκριμένες ενέργειες που σχετίζονται με την ασφάλεια.
https://www.secnews.gr/363782/ford-bug-paraviasi-dedomenon-pelaton-ergazomenon/
No comments :
Post a Comment