据Bleeping Computer报道,8月15日,研究人员披露了在福特网站上发现的一个漏洞,该漏洞可以让浏览者窥视公司机密记录、数据库并且执行帐户接管。研究人员于今年2月向福特报送该漏洞,福特称该漏洞已修复。
数据泄露的根源是福特汽车公司 服务器 上运行的 Pega Infinity 客户参与系统配置错误。
从数据泄露到账户接管
福特汽车公司网站上存在一个系统漏洞,该漏洞允许浏览者访问敏感系统,并获取包括客户数据库、员工记录、内部票证等专有信息。
漏洞由Robert Willis 和 break3r发现, 并得到了Sakura Samurai白帽组织成员Aubrey Cottle、Jackson Henry和John Jackson 的进一步验证和支持 。
这种问题是由一个名为 CVE-2021-27653 信息泄露漏洞引起的,存在于配置不当的 Pega Infinity 客户管理系统实例中。
研究人员向媒体分享了福特内部系统和数据库的许多截图,例如下图所示的公司票务系统:
福特内部的票务系统
想要利用该漏洞的话,攻击者必须先访问配置错误的 Pega Chat Access Group 门户实例的后端 Web 面板:
!RPACHAT/$STANDARD…
作为 URL 参数提供的不同负载,可能使攻击者能够运行查询、检索数据库表、OAuth 访问令牌和执行管理操作。
研究人员表示,暴露的资产包含以下所示的一些敏感的个人身份信息 (PII):
客户和员工记录、财务账号、数据库名称和表、OAuth 访问令牌、内部投票、用户个人资料、内部接口、搜索栏历史等。
Robert Willis在一篇博客文章中写道, “影响规模很大,攻击者可以利用访问控制中发现的漏洞,获取大量敏感记录,获取大量数据,执行帐户接管。”
用时六个月“强制披露”
2021年2月,研究人员向Pega报告了他们的发现,他们用相对较快的时间修复了聊天门户中的 CVE。大约在同一时间,福特公司也通过HackerOne 漏洞披露计划收到了该漏洞报送。
但是,根据报道,随着漏洞披露时间表的推进,福特的反馈却变得越来越少。
Jackson在电子邮件采访中回应媒体,“有一次,福特汽车公司对我们的问题置之不理,经过HackerOne的调解,我们才得到福特对该漏洞的初步回应。”
Jackson还表示,随着披露时间表的进一步推进,研究人员仅在发布了该漏洞的推文以后,收到了HackerOne的回复,没有包含任何敏感细节:
Jackson在后续的推文中继续说:“当漏洞标记成已经解决后,福特汽车公司忽略了我们的披露请求,随后,HackerOne调解同样忽略了我们的披露请求,这可以在 PDF 中看到“;“出于对法律和负面影响的担忧,我们只能等待整整六个月才能根据HackerOne的政策执行强制披露。“
目前,福特汽车公司的漏洞披露计划没有提供金钱激励或者漏洞奖励,因此根据公众利益进行协调披露是研究人员唯一希望的获得“奖励”。
跟随报道披露出的报告副本显示,福特没有对具体的安全相关行动发表评论。
根据 PDF 中的讨论,福特与HackerOne对研究人员表示:“发现的漏洞在提交给 HackerOne后不久,系统就下线了。”
尽管福特在报告发布后24小时内已经将这些终端下线,但研究人员在同一份报告中评论称,”在报告发布后,这些终端仍然可以访问,要求进行另一次审查和补救。“
目前尚不清楚是否有人员利用该漏洞入侵福特的系统,或者是否访问了客户和员工的敏感数据。
新能源汽车性能还有哪些提升空间
除了市场需求空间外,关键还是连接器技术的突破,新能源汽车连接器对规格性能和环境安全等要求比较高,常应用TE Connectivity的连接器、新能源高压直流接触器、预充电阻器。
福特公司人员管理的具体步骤是什么?依据是什么?
- -!这是你老师的问题吗?1。 首先从管理层入手,启用贝克当总经理,来改变他在接替老亨利时,公司职员消极怠工的局面。 接着和员工建立良好的关系,制定《雇员参与计划》,充分调动工人的积极性,对公司生产起推动作用。 2.指导思想是“以人为本”。 充分尊重员工参与决策的权力,缩小了职工与管理层次的距离,调动职工的生产劳动积极性,发挥员工潜力,从而为企业带来巨大利益。 围绕的中心点就在于充分认识到了人的重要性,管理层真正做到尊重自己的员工,爱护自己的员工,培养自己的员工,只有这样员工才能对企业忠诚,为企业风险。 所谓的人情味,已经广泛的运用到如今的企业管理中。 目的很简单,就是员工职工潜力,为企业带来巨大效益。 3.确实意见有时会出现不统一,这就要求管理层和决策层能对这些收集的意见和建议进行全面的分析和考察,以便做出正确的评估和实施方案。
如何配置Windows Server2008 ADFS麻烦告诉我
这项新功能甚至可以实现完全不同的两个网络或者是组织之间的帐户以及应用程序之间的通讯。 要理解ADFS的工作原理,可以先考虑活动目录的工ADFS是Windows Server 2008 操作系统中的一项新功能,它提供了一个统一的访问解决方案,用于解决基于浏览器的内外部用户的访问。 这项新功能甚至可以实现完全不同的两个网络或者是组织之间的帐户以及应用程序之间的通讯。 要理解ADFS的工作原理,可以先考虑活动目录的工作原理。 当用户通过活动目录进行认证时,域控制器检查用户的证书。 当证明是合法用户后,用户就可以随意访问Windows网络的任何授权资源,而无需在每次访问不同服务器时重新认证。 ADFS将同样的概念应用到Internet。 我们都知道当Web应用需要访问位于数据库或其他类型后端资源上的后端数据时,对后端资源的安全认证问题往往比较复杂。 现在可以使用的有很多不同的认证方法提供这样的认证。 例如,用户可能通过RADIUS(远程拨入用户服务认证)服务器或者通过应用程序代码的一部分实现所有权认证机制。 这些认证机制都可实现认证功能,但是也有一些不足之处。 不足之一是账户管理。 当应用仅被企业自己的员工访问时,账户管理并不是个大问题。 但是,如果企业的供应商、客户都使用该应用时,就会突然发现用户需要为其他企业的员工建立新的用户账户。 不足之二是维护问题。 当其他企业的员工离职,雇佣新员工时,用户还需要删除旧的账户和创建新的账户。 ADFS能为您做什么?如果用户将账户管理的任务转移到他们的客户、供应商或者其他使用Web应用的人那里会是什么样子哪? 设想一下, Web应用为其他企业提供服务,而用户再也不用为那些员工创建用户账户或者重设密码。 如果这还不够,使用这一应用的用户也不再需要登录应用。 那将是一件多么令人兴奋的事情。 ADFS需要什么?当然,活动目录联合服务还需要其它的一些配置才能使用,用户需要一些服务器执行这些功能。 最基本的是联合服务器,联合服务器上运行ADFS的联合服务组件。 联合服务器的主要作用是发送来自不同外部用户的请求,它还负责向通过认证的用户发放令牌。 另外在大多数情况下还需要联合代理。 试想一下,如果外部网络要能够和用户内部网络建立联合协议,这就意味着用户的联合服务器要能通过Internet访问。 但是活动目录联合并不很依赖于活动目录,因此直接将联合服务器暴露在Internet上将带来很大的风险。 正因为这样,联合服务器不能直接和Internet相连,而是通过联合代理访问。 联合代理向联合服务器中转来自外部的联合请求,联合服务器就不会直接暴露给外部。 另一ADFS的主要组件是ADFS Web代理。 Web应用必须有对外部用户认证的机制。 这些机制就是ADFS Web代理。 ADFS Web代理管理安全令牌和向Web 服务器发放的认证cookies。 在下面的文章中我们将带领大家通过一个模拟的试验环境来一起感受ADFS服务带给企业的全新感受,闲言少叙,我们下面就开始ADFS的配置试验。 第1步:预安装任务要想完成下面的试验,用户在安装ADFS之前先要准备好至少四台计算机。 1)配置计算机的操作系统和网络环境使用下表来配置试验的计算机系统以及网络环境。 2)安装 AD DS用户使用Dcpromo工具为每个同盟服务器(FS)创建一个全新的活动目录森林,具体的名称可以参考下面的配置表。 3)创建用户帐户以及资源帐户设置好两个森林后,用户就可以通过“用户帐户和计算机”(Active Directory Users and Computers )工具来创建一些帐户为下面的试验做好准备。 下面的列表给出了一些例子,供用户参考:4)将测试计算机加入到适当的域按照下表将对应的计算机加入到适当的域中,需要注意的是将这些计算机加入域前,用户需要先将对应域控制器上的防火墙禁用掉。 第2步:安装 AD FS 角色服务,配置证书现在我们已经配置好计算机并且将它们加入到域中,同时对于每台服务器我们也已经安装好了ADFS组件。 1)安装同盟服务两台计算机上安装同盟服务,安装完成后,这两台计算机就变成了同盟服务器。 下面的操作将会引导我们创建一个新的信任策略文件以及SSL和证书:点击Start ,选择 Administrative Tools ,点击 Server Manager。 右击 Manage Roles, 选中Add roles 启动添加角色向导。 在Before You Begin 页面点击 Next。 在 Select Server Roles 页选择 Active Directory Federation Services 点击Next 。 在Select Role Services 选择 Federation Service 复选框,如果系统提示用户安装 Web Server (IIS) 或者 Windows Activation Service (WAS) 角色服务,那么点击 Add Required Role Services 添加它们,完成后点击 Next 。 在 Choose a Certificate for SSL Encryption 页面点击 Create a self-signed certificate for SSL encryption, 点击 Next 继续,在 Choose token-Signing Certificate 页面点击Create a self-signed token-signing certificate, 点击 Next. 接下来的Select Trust Policy 页面选择 Create a new trust policy,下一步进入 Select Role Services 页面点击 Next 来确认默认值。
发表评论