A Tesla é uma das várias organizações a corrigir configurações incorretas de compartilhamento de recursos de origem cruzada (CORS) depois que pesquisadores de segurança provaram que poderiam exfiltrar dados da rede interna da montadora.
Isso é de acordo com a Truffle Security, que disse que seus pesquisadores ganharam “alguns milhares de dólares” com as vulnerabilidades do CORS enviadas por meio de vários programas de recompensas de bugs .
Com a ajuda de um kit de ferramentas de exploração feito sob medida para o projeto, as falhas validaram a hipótese inicial da Truffle Security de que “grandes redes corporativas internas são extremamente propensas a ter configurações incorretas de CORS impactantes”.
CORS para preocupação
A Truffle Security detalhou como sua equipe aproveitou o typosquatting para contornar as restrições impostas rotineiramente por programas de recompensas de bugs em uma postagem no blog e no vídeo que a acompanha (incorporado abaixo).
“Normalmente, as redes internas estão fora do escopo de recompensas de bugs devido às regras estritas contra movimento lateral e engenharia social”, observou. “Estamos cientes de que estamos caminhando muito perto da linha, mas não acreditamos que ela tenha sido ultrapassada.”
CORS é um mecanismo de segurança do navegador que oferece acesso controlado a recursos situados fora de um determinado domínio. Ao fazer isso, ele ajuda os desenvolvedores compensando a rigidez da política de mesma origem ( SOP ), que restringe os scripts em uma origem de acessar dados de outra.
No entanto, configurações excessivamente permissivas podem deixar a porta aberta para ataques entre domínios.
A pesquisa da Truffle Security concentra-se em configurações ‘wildcard’, que ao não enviar informações de sessão de login são geralmente seguras para sites voltados para o exterior, “mas podem dar terrivelmente errado para aplicativos da web voltados para o interior que não usam autenticação”.
Isso ocorre porque “os navegadores das pessoas abrangem várias redes; portanto, quando uma vítima visita um site mal-intencionado, esse site mal-intencionado pode acessar todos os aplicativos internos nas redes internas”.
De-CORS você pode
A Truffle Security convidou outros caçadores de bugs para identificar vulnerabilidades semelhantes com a ferramenta que construiu para o projeto.
O Of-CORS , um aplicativo Python3, pode “produzir sorrateiramente redes corporativas de destino para configurações incorretas de CORS usando typosquatting e telefonar para casa com dados quando encontrados”.
Quanto ao reconhecimento, os caçadores de bugs são aconselhados a identificar domínios internos de segundo nível em uso pelas empresas-alvo, verificando confirmações antigas em repositórios do Github, compilações do Android e até threads do StackOverflow.
A Truffle Security recomenda a compra de domínios de typosquatting que capitalizam o “erro de copiar e colar off-by-one que ocorre quando você solta o primeiro ou o último caractere”.
Por exemplo, no caso da Tesla, o eslamotors.com capturou uma vítima em poucos dias. Um service worker registrado pelo of-CORS investigou cerca de 150 subdomínios teslamotors.com e descobriu que 12 foram configurados para permitir o acesso de origem cruzada com o CORS.
“Demonstramos a capacidade de acessar e extrair dados da rede interna da Tesla apenas criando uma armadilha inócua e esperando que os funcionários entrassem nela”, disse a postagem do blog. “Delicioso.”
A Tesla, que sancionou a divulgação pública, foi elogiada por escalar, resolver e pagar “rapidamente” o problema de alta gravidade por meio de seu programa de recompensas de bugs Bugcrowd.
12 thoughts on “Tesla lida com erros de configuração do CORS que deixaram redes internas vulneráveis”
Comments are closed.