Un bogue chez Ford a exposé les dossiers des clients et des employés

0

Un bogue sur le site Web de Ford Motor Company permettait d’accéder à des systèmes sensibles et d’obtenir des données propriétaires, telles que des bases de données clients, des dossiers d’employés, des tickets internes, etc.

L’exposition des données provenait d’une instance mal configurée du système d’engagement client Pega Infinity exécuté sur les serveurs de Ford.

De l’exfiltration de données aux prises de contrôle

Des chercheurs ont révélé une vulnérabilité trouvée sur le site Web de Ford qui leur a permis de jeter un coup d’œil dans les dossiers confidentiels de l’entreprise, les bases de données et d’effectuer des prises de contrôle de compte.

La vulnérabilité a été découverte par Robert Willis et break3r, avec une validation et un soutien supplémentaires fournis par des membres du groupe de piratage éthique Sakura Samurai dont les membres sont Aubrey Cottle, Jackson Henry et John Jackson.

Le problème est causé par CVE-2021-27653, une vulnérabilité d’exposition des informations dans les instances du système de gestion des clients Pega Infinity mal configurées.

Les chercheurs ont partagé de nombreuses captures d’écran des systèmes internes et des bases de données de Ford. Par exemple, le système de billetterie de l’entreprise est illustré ci-dessous:

ford
Le système de ticket interne de Ford exposé aux chercheurs

Pour exploiter le problème, un attaquant devrait d’abord accéder au panneau Web principal d’une instance de portail Pega Chat Access Group mal configurée:

https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/

bD8qH******bIw4Prb*/!RPACHAT/$STANDARD…

Différentes charges utiles fournies en tant qu’arguments d’URL pourraient permettre aux attaquants d’exécuter des requêtes, de récupérer des tables de base de données, des jetons d’accès OAuth et d’effectuer des actions administratives.

Les chercheurs déclarent que certains des actifs exposés contenaient des informations personnelles identifiables (PII) sensibles et comprenaient:

  • Dossiers clients et employés
  • Numéros de compte financier
  • Noms et tables de la base de données
  • Jetons d’accès OAuth
  • Tickets d’assistance interne
  • Profils d’utilisateurs au sein de l’organisation
  • Actions d’impulsion
  • Interfaces internes
  • Historique de la barre de recherche

« L’impact était à grande échelle. Les attaquants pouvaient utiliser les vulnérabilités identifiées dans le contrôle d’accès brisé et obtenir des trésors d’enregistrements sensibles, effectuer des prises de contrôle de compte et obtenir une quantité substantielle de données », écrit Willis dans un article de blog.

Il a fallu six mois pour « forcer la divulgation »

En février 2021, les chercheurs avaient signalé leurs découvertes à Pega qui a corrigé le CVE dans leur portail de discussion relativement rapidement.

Le problème a également été signalé à Ford à peu près au même moment via leur programme de divulgation des vulnérabilités d’HackerOne.

Mais, les chercheurs ont déclaré que la communication de Ford était mince et s’estompait au fur et à mesure que le calendrier de divulgation responsable progressait:

« À un moment donné, ils ont complètement cessé de répondre à nos questions. Il a fallu la médiation de HackerOne pour obtenir une première réponse sur notre soumission de vulnérabilité de Ford », a déclaré John Jackson dans une interview.

Jackson déclare qu’au fur et à mesure que le calendrier de divulgation progressait, les chercheurs n’ont eu de réponse de HackerOne qu’après avoir tweeté sur la faille, mais sans donner de détails sensibles.

« Lorsque la vulnérabilité a été marquée comme résolue, Ford a ignoré notre demande de divulgation. Par la suite, la médiation d’HackerOne a ignoré notre demande d’aide qui peut être consultée dans le PDF. »

« Nous avons dû attendre les six mois complets pour forcer la divulgation conformément à la politique de HackerOne par peur de la loi et des répercussions négatives », a poursuivi Jackson.

Le programme de divulgation des vulnérabilités de Ford n’offre pas d’incitations monétaires ni de primes de bogue, donc une divulgation coordonnée à la lumière de l’intérêt public était la seule « récompense » que les chercheurs espéraient.

Une copie du rapport de divulgation partagé indique que Ford s’est abstenu de commenter des actions spécifiques liées à la sécurité.

« Les résultats que vous avez soumis… sont considérés comme privés. Ces rapports de vulnérabilité sont destinés à empêcher les compromissions qui peuvent nécessiter une divulgation. »

« Dans ce scénario, le système a été mis hors ligne peu de temps après que vous ayez soumis vos découvertes à HackerOne », a expliqué Ford à HackerOne et aux chercheurs, selon la discussion dans le PDF.

Bien que les points de terminaison aient été mis hors ligne par Ford dans les 24 heures suivant le rapport, les chercheurs commentent dans le même rapport que les points de terminaison sont restés accessibles même par la suite, et ont demandé un autre examen et une correction.

On ne sait pas encore si des acteurs malveillants ont exploité la vulnérabilité des systèmes chez Ford, ou si des informations personnelles sensibles des clients/employés ont été consultées.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire