フォード社のウェブサイトのバグにより同社の機密システムへのアクセスが可能となっていたため、顧客データベース、従業員記録、社内チケットなどの専有データを取得することができる状態だったと発表されました。
このデータ流出は、フォード社のサーバー上で稼働している顧客管理システムシステム「Pega Infinity」のインスタンスが誤って設定されていたことに起因しています。
データの流出からアカウントの乗っ取りまでの道のり
研究者たちは、Fordのウェブサイトに見つかった脆弱性を公開し、この脆弱性を利用して企業の機密記録やデータベースを覗き見したり、アカウントの乗っ取りを行ったりすることができるとしています。
この脆弱性は、Robert Willisとbreak3rによって発見され、ハッキンググループであるSakura Samuraiのメンバーであるubrey Cottle、Jackson Henry、John Jacksonによって検証とサポートが行われました。
この問題は、不適切に設定された Pega Infinity 顧客管理システムのインスタンスにおける情報露出の脆弱性である CVE-2021-27653 によって引き起こされるものになっています。
この問題を悪用するには、攻撃者はまず、誤って設定されたPega Chat Access Groupポータルインスタンスのバックエンドウェブパネルにアクセスする必要があります。
研究者によると、公開された資産の中には機密性の高い個人識別情報(PII)が含まれており、以下のようなものがあります。
- 顧客および従業員の記録
- 金融機関の口座番号
- データベースの名前とテーブル
- OAuthアクセストークン
- 社内のサポートチケット
- 組織内のユーザープロファイル
- パルスアクション
- 内部インターフェイス
- 検索バーの履歴
その影響は規模が大きく、攻撃者はアクセスコントロールの脆弱性を利用して、大量の機密記録を入手したり、アカウントの乗っ取りを実行したり、かなりの量のデータを入手したりすることができました
とウィリスはブログに記述しています。
2021年2月、研究者たちは調査結果をPega社に報告し、Pega社は比較的早くチャットポータルでCVEを修正しました。
この問題は同時期に、Ford社のHackerOne脆弱性開示プログラムを通じてFord社にも報告されました。
しかし、研究者は、Ford社からの連絡はほとんどなく、責任ある開示のタイムラインが進むにつれ、連絡は途絶えていったと述べています。
ある時点で、私たちの質問に完全に答えてくれなくなりました。Ford社から脆弱性に関する回答を得るためには、HackerOneの仲介が必要でした
と語っています。
現時点では、フォード社の脆弱性開示プログラムは金銭的なインセンティブやバグバウンティを提供していないため、公共の利益を考慮した協調的な開示が研究者が期待する唯一の “報酬 “でした。
「HackerOneに調査結果を提出した直後にシステムがオフラインにされました」とFordはHackerOneと研究者との間でやり取りがされたようです。
なお、この脆弱性を悪用してフォード社のシステムに侵入した脅威者がいるかどうか、また、顧客や従業員の機密情報にアクセスしたかどうかは、まだわかっていません。
Comments