Una serie de vulnerabilidades críticas en múltiples sitios web internos de Intel permitieron la exfiltración completa de la base de datos global de empleados de la compañía y el acceso a la información confidencial del proveedor.
Los defectos, derivados de las supervisiones básicas de seguridad, expusieron los detalles personales de más de 270,000 empleados y trabajadores de Intel.
La investigación de Eaton Works reveló que al menos cuatro aplicaciones web internas separadas contenían agujeros de seguridad severos, incluidas las omitir de autenticación del lado del cliente, las credenciales codificadas y la falta de validación del lado del servidor.
Estas vulnerabilidades proporcionaron cuatro vías distintas para que un usuario no autorizado descargue toda la base de datos de empleados.
Una de las infracciones más significativas involucró un sitio web para los empleados de Intel India para ordenar tarjetas de presentación. La investigación descubrió que fue posible evitar el indicador de inicio de sesión de Microsoft Azure corporativo haciendo una modificación simple al JavaScript del sitio.
Una vez más allá del inicio de sesión, el investigador encontró una API no autenticada que emitiría un token de acceso válido. Este token podría usarse para consultar una API de “trabajador”.
Al eliminar el filtro de búsqueda de la solicitud API, el sistema devolvió un archivo JSON de casi 1 GB que contenía los nombres, roles de trabajo, gerentes, números de teléfono y direcciones de buzón para toda la fuerza laboral global de Intel.
Propietarios de jerarquía
Este patrón de seguridad laxa se repitió en otros sistemas internos. Un sitio web de gestión de “jerarquía de productos” contenía credenciales codificadas para sus servicios de backend.
La contraseña, aunque encriptada, utilizó una tecla AES notoriamente débil: ‘1234567890123456 ‘, lo que hace que sea trivial descifrar. Esto proporcionó un segundo método para acceder a la misma base de datos de empleados, Eaton trabaja dicho.
Encriptación
Otro sitio de “incorporación de productos”, que se presume que se utilizará para administrar entradas en la base de datos de productos Public Ark de Intel, contenía un tesoro de secretos codificados, incluidas múltiples claves API e incluso un token de acceso personal GitHub.
La cuarta vulnerabilidad importante se encontró en el Sistema de Gestión EHS IP del proveedor de Intel (SEIMS), un portal para administrar la propiedad intelectual con los proveedores. El investigador pasó por alto el inicio de sesión modificando el código que verificó un token válido.
A partir de ahí, obtuvieron acceso administrativo manipulando las respuestas de API, lo que les permite ver los datos confidenciales del proveedor, incluidos los detalles de los acuerdos de no divulgación (NDA).
Sorprendentemente, las API de backend del sistema aceptaron un token de autorización fabricada con el valor “no autorizado”, un error tipográfico que resaltó un desglose completo en las verificaciones de seguridad del lado del servidor.
El investigador reveló de manera responsable todos los hallazgos a Intel a partir del 14 de octubre de 2024. La política del programa de recompensas de errores de la compañía excluye la infraestructura web de las recompensas monetarias, dirigiendo dichos informes a una bandeja de entrada de correo electrónico de seguridad.
Si bien el investigador recibió solo una respuesta automatizada y sin comunicación directa, confirmaron que Intel remedió todas las vulnerabilidades reportadas antes de que terminara el período de divulgación estándar de 90 días.
Respuesta por correo electrónico
Si bien no se expusieron datos altamente confidenciales como los números de Seguro Social o los salarios, la violación de los datos de PII de empleados y socios confidenciales en una escala tan masiva representa un lapso de seguridad significativo para el gigante de la tecnología.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
