Per mesi, la rete aziendale di Apple è stata a rischio di attacchi informatici che avrebbero potuto sottrarre dati sensibili a potenziali milioni di clienti ed eseguire codice dannoso sui loro telefoni e computer, ha detto giovedì un ricercatore di sicurezza.
Sam Curry, un ricercatore di 20 anni specializzato nella sicurezza dei siti web, ha affermato che, in totale, lui e il suo team hanno trovato 55 vulnerabilità. Ha valutato 11 di loro come critici perché gli hanno permesso di prendere il controllo dell’infrastruttura principale di Apple e da lì rubare e-mail private, dati di iCloud e altre informazioni private.
Gli 11 bug critici erano:
- Esecuzione di codice in modalità remota tramite autorizzazione e bypass dell’autenticazione
- Il bypass dell’autenticazione tramite autorizzazioni configurate in modo errato consente l’accesso amministratore globale
- Iniezione di comandi tramite argomento nome file non disinfettato
- Esecuzione di codice in modalità remota tramite il segreto trapelato e lo strumento di amministrazione esposto
- La perdita di memoria porta alla compromissione dell’account utente e del dipendente che consente l’accesso a varie applicazioni interne
- Vertica SQL Injection tramite parametro di input non disinfettato
- L’XSS memorizzato controllabile consente all’attaccante di compromettere completamente l’account iCloud della vittima
- L’XSS memorizzato controllabile consente all’attaccante di compromettere completamente l’account iCloud della vittima
- Full Response SSRF consente all’attaccante di leggere il codice sorgente interno e di accedere alle risorse protette
- Blind XSS consente all’attaccante di accedere al portale di supporto interno per il monitoraggio dei problemi di clienti e dipendenti
- L’esecuzione PhantomJS lato server consente all’autore dell’attacco di accedere alle risorse interne e recuperare le chiavi AWS IAM
Apple ha prontamente risolto le vulnerabilità dopo che Curry le aveva segnalate nell’arco di tre mesi, spesso entro poche ore dal suo avviso iniziale. La società ha finora elaborato circa la metà delle vulnerabilità e si è impegnata a pagare $ 288,500 per esse. Una volta che Apple elaborerà il resto, ha detto Curry, il pagamento totale potrebbe superare i $ 500.000.
“Se i problemi fossero stati utilizzati da un utente malintenzionato, Apple avrebbe dovuto affrontare una massiccia divulgazione di informazioni e perdita di integrità”, ha detto Curry in una chat online poche ore dopo aver pubblicato un articolo di 9.200 parole intitolato Abbiamo hackerato Apple per 3 mesi: ecco cosa abbiamo Trovato. “Ad esempio, gli aggressori avrebbero accesso agli strumenti interni utilizzati per la gestione delle informazioni sugli utenti e inoltre sarebbero in grado di modificare i sistemi in giro per funzionare come intendono gli hacker”.
Due dei peggiori bug
Tra i rischi più gravi vi erano quelli rappresentati da una vulnerabilità di scripting cross-site archiviata (tipicamente abbreviata in XSS) nel parser JavaScript utilizzato dai server su www.iCloud.com. Poiché iCloud fornisce servizi ad Apple Mail, il difetto potrebbe essere sfruttato inviando a qualcuno con un indirizzo iCloud.com o Mac.com un’e-mail che includesse caratteri dannosi.
Il bersaglio deve solo aprire l’email per essere hackerato. Una volta che ciò è accaduto, uno script nascosto all’interno dell’e-mail dannosa ha consentito all’hacker di eseguire tutte le azioni che il bersaglio poteva compiere quando accedeva a iCloud nel browser. Di seguito è riportato un video che mostra un exploit proof-of-concept che ha inviato tutte le foto e i contatti del bersaglio all’attaccante.
Curry ha affermato che la vulnerabilità XSS archiviata è wormable, il che significa che potrebbe diffondersi da utente a utente quando non hanno fatto altro che aprire l’email dannosa. Un tale worm avrebbe funzionato includendo uno script che inviava un’e-mail simile a ogni indirizzo iCloud.com o Mac.com nell’elenco dei contatti delle vittime.
Una vulnerabilità separata, in un sito riservato ad Apple Distinguished Educators, era il risultato dell’assegnazione di una password predefinita – “### INvALID #%! 3” (senza virgolette) – quando qualcuno inviava una domanda che includeva un nome utente , nome e cognome, indirizzo email e datore di lavoro.
“Se qualcuno avesse fatto domanda utilizzando questo sistema e esistessero funzionalità in cui è possibile autenticarsi manualmente, è possibile accedere semplicemente al proprio account utilizzando la password predefinita e ignorare completamente il login” Accedi con Apple “”, ha scritto Curry.
Alla fine, gli hacker sono stati in grado di utilizzare il bruteforcing per indovinare un utente con il nome “erb” e, con questo, per accedere manualmente all’account dell’utente. Gli hacker hanno quindi effettuato l’accesso a diversi altri account utente, uno dei quali aveva privilegi di “amministratore principale” sulla rete. L’immagine sotto mostra la console Jive, utilizzata per eseguire forum online, che hanno visto.
Con il controllo dell’interfaccia, gli hacker avrebbero potuto eseguire comandi arbitrari sul server Web controllando il sottodominio ade.apple.com e accedere al servizio LDAP interno che memorizza le credenziali dell’account utente. Con ciò, avrebbero potuto accedere a gran parte della restante rete interna di Apple.
Andando fuori di testa
In tutto, il team di Curry ha trovato e segnalato 55 vulnerabilità con una gravità di 11 critiche, 29 alte, 13 medie e due basse. L’elenco e le date in cui sono stati trovati sono elencati nel post del blog di Curry, che è collegato sopra.
Come chiarisce l’elenco sopra, gli hack descritti qui sono solo due di un lungo elenco che Curry e il suo team sono stati in grado di eseguire. Li hanno eseguiti con il programma bug bounty di Apple. Il post di Curry afferma che Apple ha pagato un totale di $ 51.500 in cambio dei rapporti privati relativi a quattro vulnerabilità.
Mentre stavo segnalando e scrivendo questo post, Curry ha detto di aver ricevuto un’e-mail da Apple che lo informava che la società stava pagando ulteriori $ 237.000 per altre 28 vulnerabilità.
“La mia risposta all’email è stata: ‘Wow! In questo momento sono in uno strano stato di shock ‘”, mi ha detto Curry. “Non sono mai stato pagato così tanto in una volta. Tutti nel nostro gruppo sono ancora un po ‘fuori di testa. ”
Ha detto che si aspetta che il pagamento totale possa superare i $ 500.000 una volta che Apple avrà digerito tutti i rapporti.
Un rappresentante Apple ha rilasciato una dichiarazione che diceva:
In Apple, proteggiamo con attenzione le nostre reti e disponiamo di team dedicati di professionisti della sicurezza delle informazioni che lavorano per rilevare e rispondere alle minacce. Non appena i ricercatori ci hanno avvisato dei problemi descritti nel loro rapporto, abbiamo immediatamente risolto le vulnerabilità e preso provvedimenti per prevenire futuri problemi di questo tipo. Sulla base dei nostri log, i ricercatori sono stati i primi a scoprire le vulnerabilità, quindi siamo certi che nessun dato utente sia stato utilizzato in modo improprio. Apprezziamo la nostra collaborazione con i ricercatori sulla sicurezza per aiutare a mantenere i nostri utenti al sicuro e abbiamo accreditato il team per la loro assistenza e li ricompenseremo dal programma Apple Security Bounty.