Tesla lida com erros de configuração do CORS que deixaram redes internas vulneráveis

Tesla lida com erros de configuração do CORS que deixaram redes internas vulneráveis
A Tesla é uma das várias organizações a corrigir configurações incorretas de compartilhamento de recursos de origem cruzada (CORS) depois que pesquisadores de segurança provaram que poderiam exfiltrar dados da rede interna da montadora.
Compartilhe

A Tesla é uma das várias organizações a corrigir configurações incorretas de compartilhamento de recursos de origem cruzada (CORS) depois que pesquisadores de segurança provaram que poderiam exfiltrar dados da rede interna da montadora.

Isso é de acordo com a Truffle Security, que disse que seus pesquisadores ganharam “alguns milhares de dólares” com as vulnerabilidades do CORS enviadas por meio de vários programas de recompensas de bugs .

Com a ajuda de um kit de ferramentas de exploração feito sob medida para o projeto, as falhas validaram a hipótese inicial da Truffle Security de que “grandes redes corporativas internas são extremamente propensas a ter configurações incorretas de CORS impactantes”.

CORS para preocupação

A Truffle Security detalhou como sua equipe aproveitou o typosquatting para contornar as restrições impostas rotineiramente por programas de recompensas de bugs em uma postagem no blog e no vídeo que a acompanha (incorporado abaixo).

“Normalmente, as redes internas estão fora do escopo de recompensas de bugs devido às regras estritas contra movimento lateral e engenharia social”, observou. “Estamos cientes de que estamos caminhando muito perto da linha, mas não acreditamos que ela tenha sido ultrapassada.”

CORS é um mecanismo de segurança do navegador que oferece acesso controlado a recursos situados fora de um determinado domínio. Ao fazer isso, ele ajuda os desenvolvedores compensando a rigidez da política de mesma origem ( SOP ), que restringe os scripts em uma origem de acessar dados de outra.

No entanto, configurações excessivamente permissivas podem deixar a porta aberta para ataques entre domínios.

A pesquisa da Truffle Security concentra-se em configurações ‘wildcard’, que ao não enviar informações de sessão de login são geralmente seguras para sites voltados para o exterior, “mas podem dar terrivelmente errado para aplicativos da web voltados para o interior que não usam autenticação”.

Isso ocorre porque “os navegadores das pessoas abrangem várias redes; portanto, quando uma vítima visita um site mal-intencionado, esse site mal-intencionado pode acessar todos os aplicativos internos nas redes internas”.

De-CORS você pode

A Truffle Security convidou outros caçadores de bugs para identificar vulnerabilidades semelhantes com a ferramenta que construiu para o projeto.

O Of-CORS , um aplicativo Python3, pode “produzir sorrateiramente redes corporativas de destino para configurações incorretas de CORS usando typosquatting e telefonar para casa com dados quando encontrados”.

Quanto ao reconhecimento, os caçadores de bugs são aconselhados a identificar domínios internos de segundo nível em uso pelas empresas-alvo, verificando confirmações antigas em repositórios do Github, compilações do Android e até threads do StackOverflow.

A Truffle Security recomenda a compra de domínios de typosquatting que capitalizam o “erro de copiar e colar off-by-one que ocorre quando você solta o primeiro ou o último caractere”.

Por exemplo, no caso da Tesla, o eslamotors.com capturou uma vítima em poucos dias. Um service worker registrado pelo of-CORS investigou cerca de 150 subdomínios teslamotors.com e descobriu que 12 foram configurados para permitir o acesso de origem cruzada com o CORS.

“Demonstramos a capacidade de acessar e extrair dados da rede interna da Tesla apenas criando uma armadilha inócua e esperando que os funcionários entrassem nela”, disse a postagem do blog. “Delicioso.”

A Tesla, que sancionou a divulgação pública, foi elogiada por escalar, resolver e pagar “rapidamente” o problema de alta gravidade por meio de seu programa de recompensas de bugs Bugcrowd.