diciembre 9, 2021

Los piratas informáticos de sombrero blanco que tenían el control de la red interna de Apple reciben una recompensa de 288.000 dólares

Dentro de un logotipo de Apple en blanco y negro, una pantalla de computadora muestra a alguien escribiendo.

Nick Wright. Usado con permiso.

Durante meses, la red corporativa de Apple ha estado en riesgo de ataques cibernéticos que podrían haber robado datos confidenciales de millones de clientes potenciales y ejecutar código malicioso en sus teléfonos y computadoras, dijo el jueves un investigador de seguridad.

Sam Curry, un investigador de 20 años especializado en seguridad de sitios web, dijo que, en total, él y su equipo encontraron 55 vulnerabilidades. Calificó a 11 de ellos como críticos porque le permitieron tomar el control de la infraestructura central de Apple y robar correos electrónicos privados, datos de iCloud y otra información privada desde allí.

Los 11 errores críticos fueron:

  • Ejecución remota de código mediante autorización y omisión de autenticación
  • Eludir la autenticación utilizando permisos configurados incorrectamente permite el acceso de administrador global
  • Inyección de comandos a través del argumento de nombre de archivo sin limpiar
  • Ejecución remota de código a través de un secreto filtrado y una herramienta de administración expuesta
  • La pérdida de memoria conduce al compromiso de la cuenta del usuario y del empleado, lo que permite el acceso a varias aplicaciones internas.
  • Inyección de Vertica SQL a través de un parámetro de entrada sin limpiar
  • El XSS almacenado controlable permite al atacante comprometer por completo la cuenta de iCloud de la víctima
  • El XSS almacenado controlable permite al atacante comprometer por completo la cuenta de iCloud de la víctima
  • Full Response SSRF permite al atacante leer el código fuente interno y acceder a recursos protegidos
  • Blind XSS permite al atacante acceder al portal de soporte interno para monitorear los problemas de los clientes y empleados
  • La ejecución de PhantomJS en el lado del servidor permite al atacante acceder a recursos internos y recuperar claves de AWS IAM

Apple resolvió rápidamente las vulnerabilidades después de que Curry las informara dentro de los tres meses, a menudo pocas horas después de su advertencia inicial. Hasta ahora, la compañía ha procesado aproximadamente la mitad de las vulnerabilidades y se ha comprometido a pagar 288.500 dólares por ellas. Una vez que Apple procese el resto, dijo Curry, el pago total podría superar los 500.000 dólares.

«Si un atacante hubiera utilizado los problemas, Apple se habría enfrentado a la divulgación masiva de información y la pérdida de integridad», dijo Curry en un chat en línea horas después de publicar un artículo de 9.200 palabras titulado Hemos estado pirateando Apple durante 3 meses: esto es lo que encontramos. «Por ejemplo, los atacantes tendrían acceso a herramientas internas que se utilizan para administrar la información del usuario y también podrían modificar los sistemas para que funcionen como los hackers pretendían».

Curry dijo que el proyecto de piratería era una empresa conjunta que también incluía a otros investigadores:

Dos de los peores

Entre los riesgos más graves se encuentran los representados por una vulnerabilidad archivada de secuencias de comandos entre sitios (generalmente abreviada como XSS) en el analizador de JavaScript utilizado por los servidores en www.iCloud.com. Dado que iCloud brinda servicios a Apple Mail, la falla podría aprovecharse enviando a alguien con una dirección de iCloud.com o Mac.com un correo electrónico que incluyera caracteres maliciosos.

El objetivo solo necesita abrir el correo electrónico para ser pirateado. Una vez que esto sucedió, un script oculto dentro del correo electrónico malicioso permitió al pirata informático realizar todas las acciones que el objetivo podría realizar cuando accedió a iCloud en el navegador. A continuación se muestra un video que muestra un exploit de prueba de concepto que envió todas las fotos y contactos del objetivo al atacante.

Verificación teórica

Curry dijo que la vulnerabilidad XSS archivada es manipulable, lo que significa que podría propagarse de un usuario a otro cuando no hicieran nada más que abrir el correo electrónico malicioso. Tal gusano habría funcionado al incluir un script que enviara un correo electrónico similar a cada dirección de iCloud.com o Mac.com en la lista de contactos de las víctimas.

Una vulnerabilidad separada, en un sitio reservado para los Educadores Distinguidos de Apple, fue el resultado de asignar una contraseña predeterminada – «### INvALID #%! 3» (sin comillas) – cuando alguien envió una pregunta que incluía un nombre de usuario, nombre y apellidos, dirección de correo electrónico y empleador.

«Si alguien había presentado una solicitud utilizando este sistema y había funciones en las que puede autenticarse manualmente, simplemente puede iniciar sesión en su cuenta con la contraseña predeterminada y omitir por completo el inicio de sesión ‘Iniciar sesión con Apple'», escribió Curry.

Finalmente, los piratas informáticos pudieron utilizar la fuerza bruta para adivinar a un usuario con el nombre «erb» y, con eso, iniciar sesión manualmente en la cuenta del usuario. Luego, los piratas informáticos iniciaron sesión en varias otras cuentas de usuario, una de las cuales tenía privilegios de «administrador maestro» en la red. La siguiente imagen muestra la consola Jive, utilizada para ejecutar foros en línea, que han visto.

Con el control de la interfaz, los piratas informáticos podrían haber ejecutado comandos arbitrarios en el servidor web controlando el subdominio ade.apple.com y accediendo al servicio LDAP interno que almacena las credenciales de la cuenta de usuario. Con eso, podrían haber accedido a gran parte de la red interna restante de Apple.

Saliendo de tu mente

En total, el equipo de Curry encontró y reportó 55 vulnerabilidades con severidades de 11 críticas, 29 altas, 13 medias y dos bajas. La lista y las fechas en las que se encontraron se enumeran en la publicación del blog de Curry, que está vinculada arriba.

Como se desprende de la lista anterior, los trucos descritos aquí son solo dos de una larga lista que Curry y su equipo han podido realizar. Los ejecutaron como parte del programa de recompensas por errores de Apple. La publicación de Curry afirma que Apple pagó un total de $ 51,500 a cambio de informes privados relacionados con cuatro vulnerabilidades.

Mientras informaba y escribía esta publicación, Curry dijo que recibió un correo electrónico de Apple informándole que la compañía estaba pagando $ 237,000 adicionales por otras 28 vulnerabilidades.

“Mi respuesta al correo electrónico fue: ‘¡Guau! Estoy en un extraño estado de conmoción en este momento «, me dijo Curry.» Nunca me habían pagado tanto a la vez. Todos en nuestro grupo todavía están un poco locos.

Dijo que espera que el pago total supere los 500.000 dólares una vez que Apple haya asimilado todos los informes.

Un representante de Apple una declaración que decía:

En Apple, protegemos cuidadosamente nuestras redes y contamos con equipos dedicados de profesionales de seguridad de la información que trabajan para detectar y responder a las amenazas. Tan pronto como los investigadores nos alertaron sobre los problemas detallados en su informe, solucionamos de inmediato las vulnerabilidades y tomamos medidas para prevenir futuros problemas de este tipo. Según nuestros registros, los investigadores fueron los primeros en descubrir las vulnerabilidades, por lo que estamos seguros de que ningún dato de usuario ha sido mal utilizado. Agradecemos nuestra colaboración con los investigadores de seguridad para ayudar a mantener seguros a nuestros usuarios y hemos acreditado al equipo por su asistencia y los recompensaremos con el programa Apple Security Bounty.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *