Intel’in dahili web altyapısındaki bir dizi kritik güvenlik kusuru, 270.000’den fazla çalışanın kişisel detaylarını ortaya çıkardı ve potansiyel olarak saldırganlara hassas kurumsal ve tedarikçi bilgilerine erişim sağladı.
Keşifler, birden fazla web sitesinde ciddi zayıflıkları vurgular ve şirketin web uygulama güvenliği ile ilgili daha geniş endişeler yaratır.
Bu hafta ortaya çıkan güvenlik araştırmaları bulgularına göre, dört ayrı dahili Intel sistemi kullanılabilir ve tüm küresel çalışan dizini dışarı atmak ve bazı durumlarda tam idari erişime yükselmek için birden fazla yol sunmaktadır.
- Kartvizit Siparişi web sitesi: Intel India operasyonları tarafından sürdürülen kurumsal bir portal, saldırganların Microsoft Azure kimlik doğrulamasını ortadan kaldırmasına izin veren bir giriş baypası içeriyordu. Uygulamayı manipüle ederek, araştırmacılar API jetonlarını anonim olarak çekebildiler ve nihayetinde dünya çapında her intel işçisinin ayrıntılarını içeren yaklaşık 1 GB JSON dosyasını indirebildiler.
- Hiyerarşi Yönetim Portalı: Başka bir site, ReactJS kodunda zayıf şifreli, sert kodlanmış kimlik bilgileri ile gönderilen dahili ürün gruplarını yönetmek için kullanılır. Bu sırlar kolayca çözülebilir, bu da işçi verilerine yetkisiz erişim sağlar ve potansiyel olarak yönetici düzeyinde ayrıcalıklar verir.
- Ürün Yerleşik web sitesi: Intel’in yaygın olarak belirtilen Ark Platformuna ürün yayınlamak için dahili olarak kullanılan bu portal, birkaç açık jeton, sert kodlanmış şifreler ve hatta bir gitithub erişim belirtecisi içeriyordu. Araştırmacılar, bu güvenlik açıklarının saldırganların ürün yöneticileri olarak maskelenmesine izin verebileceğini ve potansiyel olarak Intel’in ürün kataloğunu manipüle etmelerini sağlayabileceğini gösterdiler.
- Seims Tedarikçi Portalı: Tedarikçi Çevre Sağlığı ve Güvenliği (EHS) bilgileri için güvenli bir sistem olarak faturalandırılan SEIMS benzer şekilde ortaya çıktı. Saldırganlar, giriş kontrollerini atlayarak ve istemci tarafı kodunu değiştirerek Intel çalışanlarını numaralandırabilir ve NDA ile ilgili ayrıntılar da dahil olmak üzere gizli tedarikçi verilerini indirebilir.
Hiçbir finansal veri veya sosyal güvenlik numaralarının sızdırılmamış olsa da, açık alanlar isimleri, rolleri, iletişim bilgilerini ve raporlama yapılarını içermektedir. Toplamda, bu önemli bir operasyonel riski temsil ediyordu.
Meltdown, Spectre ve çeşitli yan kanal saldırıları gibi donanım seviyesi güvenlik açıkları için geçmişte küresel incelemeyle karşılaşan Intel, web güvenliğini ele almak için daha yavaş göründü.
Şirketin hata ödül programı, web altyapısını açıkça hariç tuttu ve kimlik bilgilerini ödül kapsamından sızdırdı ve bu kusurları araştırmacılar için daha az cazip hale getirdi.
Buna rağmen, güvenlik açıkları 2024’ün sonlarında sorumlu bir şekilde açıklandı ve Intel Şubat 2025’e kadar kusurları yamaladı.
Araştırmacı otomatik bir gelen kutusu yanıtının ötesinde doğrudan bir onay almasına rağmen, sorunlar sonunda çözüldü.
Olumlu bir hareketle Intel, son zamanlarda hata ödül programının daha fazla çevrimiçi hizmeti kapsaması için genişlediğini açıkladı – potansiyel olarak Intel.com Web Properties dahil.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!