Apple paga $ 288,000 a los piratas informáticos de sombrero blanco que habían manejado la red de la empresa

Dentro de un logo de Apple en blanco y negro, una pantalla de computadora siluetea a alguien escribiendo.

Nick Wright. Usado con permiso.

Durante meses, la red corporativa de Apple estuvo en riesgo de ataques que podrían haber robado datos confidenciales de potencialmente millones de sus clientes y haber ejecutado código malicioso en sus teléfonos y computadoras, dijo el jueves un investigador de seguridad.

Sam Curry, un investigador de 20 años que se especializa en seguridad de sitios web, dijo que, en total, él y su equipo encontraron 55 vulnerabilidades. Calificó a 11 de ellos como críticos porque le permitieron tomar el control de la infraestructura central de Apple y desde allí robar correos electrónicos privados, datos de iCloud y otra información privada.

Los 11 errores críticos fueron:

  • Ejecución remota de código a través de autorización y omisión de autenticación
  • La omisión de autenticación mediante permisos mal configurados permite el acceso de administrador global
  • Inyección de comandos a través del argumento de nombre de archivo no desinfectado
  • Ejecución remota de código a través de un secreto filtrado y una herramienta de administrador expuesta
  • La pérdida de memoria conduce al compromiso de la cuenta de los empleados y los usuarios, lo que permite el acceso a varias aplicaciones internas
  • Inyección de Vertica SQL a través de un parámetro de entrada no desinfectado
  • Wormable Stored XSS permite al atacante comprometer completamente la cuenta de iCloud de la víctima
  • Wormable Stored XSS permite al atacante comprometer completamente la cuenta de iCloud de la víctima
  • La SSRF de respuesta completa permite al atacante leer el código fuente interno y acceder a recursos protegidos
  • Blind XSS permite al atacante acceder al portal de soporte interno para el seguimiento de problemas de clientes y empleados
  • La ejecución de PhantomJS del lado del servidor permite al atacante acceder a recursos internos y recuperar claves de AWS IAM

Apple arregló rápidamente las vulnerabilidades después de que Curry las informara durante un período de tres meses, a menudo pocas horas después de su aviso inicial. Hasta ahora, la compañía ha procesado aproximadamente la mitad de las vulnerabilidades y se ha comprometido a pagar $ 288,500 por ellas. Una vez que Apple procese el resto, dijo Curry, el pago total podría superar los 500.000 dólares.

“Si los problemas fueran utilizados por un atacante, Apple se habría enfrentado a una divulgación masiva de información y a una pérdida de integridad”, dijo Curry en un chat en línea unas horas después de publicar un artículo de 9.200 palabras titulado Hackeamos Apple durante 3 meses: esto es lo que encontramos. “Por ejemplo, los atacantes tendrían acceso a las herramientas internas que se utilizan para administrar la información del usuario y, además, podrían cambiar los sistemas para que funcionen como pretenden los piratas informáticos”.

Curry dijo que el proyecto de piratería era una empresa conjunta que también incluía a otros investigadores:

Dos de los peores

Entre los riesgos más graves se encontraban los planteados por un vulnerabilidad de secuencias de comandos entre sitios (normalmente abreviado como XSS) en el analizador de JavaScript que utilizan los servidores en www.iCloud.com. Debido a que iCloud brinda servicio a Apple Mail, la falla podría aprovecharse enviando a alguien con una dirección de iCloud.com o Mac.com un correo electrónico que incluyera caracteres maliciosos.

El objetivo solo necesita abrir el correo electrónico para ser pirateado. Una vez que eso sucedió, un script oculto dentro del correo electrónico malicioso permitió al pirata informático realizar cualquier acción que pudiera realizar el objetivo al acceder a iCloud en el navegador. A continuación se muestra un video que muestra un exploit de prueba de concepto que envió todas las fotos y contactos del objetivo al atacante.

Prueba de concepto

Curry dijo que la vulnerabilidad XSS almacenada se podía eliminar, lo que significa que podría propagarse de un usuario a otro cuando no hicieran más que abrir el correo electrónico malicioso. Tal gusano habría funcionado al incluir un script que enviara un correo electrónico elaborado de manera similar a cada dirección de iCloud.com o Mac.com en la lista de contactos de las víctimas.

Una vulnerabilidad separada, en un sitio reservado para Apple Distinguished Educators, fue el resultado de asignar una contraseña predeterminada, “### INvALID #%! 3” (sin incluir las comillas), cuando alguien envió una solicitud que incluía un nombre de usuario , nombre y apellido, dirección de correo electrónico y empleador.

“Si alguien había presentado una solicitud utilizando este sistema y existía una funcionalidad en la que podía autenticarse manualmente, simplemente podía iniciar sesión en su cuenta con la contraseña predeterminada y omitir por completo el inicio de sesión ‘Iniciar sesión con Apple'”, escribió Curry.

Finalmente, los piratas informáticos pudieron utilizar la fuerza bruta para adivinar a un usuario con el nombre “erb” y, con eso, iniciar sesión manualmente en la cuenta del usuario. Luego, los piratas informáticos iniciaron sesión en varias otras cuentas de usuario, una de las cuales tenía privilegios de “administrador principal” en la red. La siguiente imagen muestra la consola Jive, utilizada para ejecutar foros en línea, que vieron.

Con el control de la interfaz, los piratas informáticos podrían haber ejecutado comandos arbitrarios en el servidor web que controla el subdominio ade.apple.com y acceder a los Servicio LDAP que almacena las credenciales de la cuenta de usuario. Con eso, podrían haber accedido a gran parte de la red interna restante de Apple.

Enloqueciendo

En total, el equipo de Curry encontró e informó 55 vulnerabilidades con la gravedad de 11 calificadas como críticas, 29 altas, 13 medias y dos bajas. La lista y las fechas en las que se encontraron se enumeran en la publicación del blog de Curry, que está vinculada arriba.

Como deja en claro la lista anterior, los trucos detallados aquí son solo dos de una larga lista que Curry y su equipo pudieron llevar a cabo. Los realizaron bajo el programa de recompensas por errores de Apple. La publicación de Curry decía que Apple pagó un total de 51.500 dólares a cambio de los informes privados relacionados con cuatro vulnerabilidades.

Mientras estaba en el proceso de informar y escribir esta publicación, Curry dijo que recibió un correo electrónico de Apple informándole que la compañía estaba pagando $ 237,000 adicionales por otras 28 vulnerabilidades.

“Mi respuesta al correo electrónico fue: ‘¡Vaya! Estoy en un extraño estado de conmoción en este momento ‘”, me dijo Curry. “Nunca me habían pagado tanto a la vez. Todos en nuestro grupo todavía están un poco asustados “.

Dijo que espera que el pago total supere los 500.000 dólares una vez que Apple compense todos los informes.

Un representante de Apple emitió una declaración que decía:

En Apple, protegemos atentamente nuestras redes y contamos con equipos dedicados de profesionales de seguridad de la información que trabajan para detectar y responder a las amenazas. Tan pronto como los investigadores nos alertaron sobre los problemas que detallan en su informe, solucionamos de inmediato las vulnerabilidades y tomamos medidas para evitar problemas de este tipo en el futuro. Según nuestros registros, los investigadores fueron los primeros en descubrir las vulnerabilidades, por lo que estamos seguros de que no se hizo un mal uso de los datos del usuario. Valoramos nuestra colaboración con los investigadores de seguridad para ayudar a mantener seguros a nuestros usuarios y le hemos dado crédito al equipo por su ayuda y los recompensaremos con el programa Apple Security Bounty.

Recent Articles

T-Mobile expande su red 5G de banda media más rápida, casi duplicando su cobertura

T-Mobile ha anunciado otra expansión de su red 5G de banda media de 2.5GHz, que ahora está disponible en docenas de nuevas...

Partidarios de Trump apuntados por estafadores de criptomonedas

Los ciberdelincuentes ejecutan un criptomoneda estafa violó con éxito el sitio web de la campaña del bajo fuego del presidente estadounidense Donald Trump para...

Nintendo Switch 2: lo que queremos ver de una Nintendo Switch Pro

Hace tiempo que se rumorea que Nintendo está trabajando en una Nintendo Switch 2, una Nintendo Switch Pro o una New Nintendo Switch. Pero,...

Cómo hacer que su trabajo de investigación se destaque – Guía 2020

Fuente de la imagen: pexels.com Tutores y académicos se encuentran con numerosos escritos académicos, por lo que se necesitaría uno especial para captar la atención....

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí