Birden fazla dahili Intel web sitesindeki bir dizi kritik güvenlik açığı, şirketin küresel çalışan veritabanının tam olarak ortaya çıkmasına ve gizli tedarikçi bilgilerine erişimine izin verdi.
Temel güvenlik gözetimlerinden kaynaklanan kusurlar, 270.000’den fazla Intel çalışanının ve işçisinin kişisel ayrıntılarını ortaya çıkardı.
Eaton Works’ten yapılan soruşturma, en az dört ayrı dahili web uygulamasının, istemci tarafı kimlik doğrulama bypass, sert kodlanmış kimlik bilgileri ve sunucu tarafı doğrulama eksikliği dahil olmak üzere ciddi güvenlik delikleri içerdiğini ortaya koydu.
Bu güvenlik açıkları, yetkisiz bir kullanıcının tüm çalışan veritabanını indirmesi için dört farklı yol sağladı.
En önemli ihlallerden biri, Intel India çalışanlarının kartvizit sipariş etmeleri için bir web sitesi içeriyordu. Araştırma, sitenin JavaScript’te basit bir değişiklik yaparak kurumsal Microsoft Azure giriş istemini atlamanın mümkün olduğunu keşfetti.
Girişten geçtikten sonra, araştırmacı geçerli bir erişim belirteci verecek kimlik doğrulanmamış bir API buldu. Bu jeton daha sonra bir “işçi” API’sını sorgulamak için kullanılabilir.
Arama filtresini API isteğinden kaldırarak, sistem Intel’in tüm küresel işgücü için adları, iş rollerini, yöneticileri, telefon numaralarını ve posta kutusu adreslerini içeren yaklaşık 1 GB JSON dosyası döndürdü.
.webp)
Bu gevşek güvenlik modeli diğer dahili sistemlerde tekrarlandı. Bir “Ürün Hiyerarşisi” yönetim web sitesi, arka uç hizmetleri için sabit kodlanmış kimlik bilgileri içeriyordu.
Şifre, şifrelenmiş olsa da, kötü şöhretli bir AES anahtarı – ‘1234567890123456 ‘ – şifresini çözmek için önemsiz hale getirdi. Eaton Works, bunun aynı çalışan veritabanına erişmek için ikinci bir yöntem sağladığını söyledi.
Intel’in genel ARK ürün veritabanında girişleri yönetmek için kullanıldığı varsayılan bir başka “ürün” sitesi, birden fazla API anahtarı ve hatta GitHub kişisel erişim belirteci de dahil olmak üzere bir dizi sert kod içeriyordu.
Dördüncü büyük güvenlik açığı, tedarikçilerle fikri mülkiyeti yönetmek için bir portal olan Intel’in Tedarikçisi EHS IP Yönetim Sistemi’nde (SEIMS) bulundu. Araştırmacı, geçerli bir jetonu kontrol eden kodu değiştirerek girişi atladı.
Oradan, API yanıtlarını manipüle ederek idari erişim elde ettiler ve gizlilik sözleşmelerinin (NDA’lar) detayları da dahil olmak üzere gizli tedarikçi verilerini görüntülemelerine izin verdiler.
Şaşırtıcı bir şekilde, sistemin arka uç API’leri, sunucu tarafı güvenlik kontrollerinde tam bir dökümü vurgulayan bir yazım hatası olan “otomatikleştirilmemiş” değeri ile imal edilmiş bir yetkilendirme jetonunu kabul etti.
Araştırmacı, 14 Ekim 2024’ten itibaren Intel’e tüm bulguları sorumlu bir şekilde açıkladı. Şirketin Böcek Bounty Program politikası, web altyapısını para ödüllerinden hariç tutarak bu raporları bir güvenlik e -posta gelen kutusuna yönlendirdi.
Araştırmacı sadece otomatik bir cevap ve doğrudan iletişim almazken, Intel’in standart 90 günlük açıklama süresi sona ermeden önce bildirilen tüm güvenlik açıklarını iyileştirdiğini doğruladılar.
.webp)
Sosyal güvenlik numaraları veya maaşlar gibi oldukça hassas bir veri ortaya çıkmamış olsa da, bu kadar büyük bir ölçekte çalışan PII ve gizli ortak verilerin ihlali, teknoloji devi için önemli bir güvenlik atlamasını temsil etmektedir.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →