本周的一篇博客顯示，一群黑客針對蘋果公司龐大的在線基礎(chǔ)設(shè)施，花費(fèi)數(shù)月時(shí)間后發(fā)現(xiàn)了一系列漏洞，其中包括一些允許黑客竊取用戶iCloud帳戶中文件的漏洞。

不過，與那些蓄意破壞的黑客不同，這些黑客以“白帽”的身份進(jìn)行操作，這意味著他們的目標(biāo)是向Apple發(fā)出警報(bào)，而不是竊取信息。

這個(gè)黑客團(tuán)隊(duì)由20歲的Sam Curry領(lǐng)導(dǎo)，其他研究人員包括：Brett Buerhaus, Ben Sadeghipour, Samuel Erb, and Tanner Barnes.

Sam Curry說，他和他的團(tuán)隊(duì)總共發(fā)現(xiàn)了55個(gè)漏洞。其中有11項(xiàng)被標(biāo)記為“高危”，因?yàn)樗鼈冊试S他控制蘋果的核心基礎(chǔ)設(shè)施，并從那里竊取私人電子郵件、iCloud數(shù)據(jù)和其他私人信息。

這11項(xiàng)高危漏洞分別是：

• 通過授權(quán)和身份驗(yàn)證繞過遠(yuǎn)程代碼執(zhí)行

• 通過配置錯(cuò)誤的權(quán)限繞過身份驗(yàn)證允許全局管理員訪問

• 通過未經(jīng)過濾的文件名參數(shù)進(jìn)行命令注入

• 通過泄露的機(jī)密和公開的管理員工具執(zhí)行遠(yuǎn)程代碼

• 內(nèi)存泄漏導(dǎo)致員工和用戶帳戶泄露，從而允許訪問各種內(nèi)部應(yīng)用程序

• 通過未經(jīng)過濾的輸入?yún)?shù)進(jìn)行Vertica SQL注入

• 可修復(fù)的存儲XSS允許攻擊者完全危害受害者iCloud帳戶（1）

• 可修復(fù)的存儲XSS允許攻擊者完全危害受害者iCloud帳戶（2）

• 完全響應(yīng)SSRF允許攻擊者讀取內(nèi)部源代碼并訪問受保護(hù)的資源

• Blind XSS允許攻擊者訪問內(nèi)部支持門戶以跟蹤客戶和員工的問題

• 服務(wù)器端PhantomJS執(zhí)行允許攻擊者訪問內(nèi)部資源并檢索AWS IAM密鑰

在發(fā)表了一篇9200字的題為《我們?nèi)肭痔O果3個(gè)月：以下是我們發(fā)現(xiàn)的漏洞》的文章后的幾個(gè)小時(shí)，Curry在網(wǎng)上聊天中說道，“如果這些問題被攻擊者利用，蘋果將面臨大規(guī)模的信息披露和誠信損失，例如，攻擊者可以訪問用于管理用戶信息的內(nèi)部工具，還可以更改周圍的系統(tǒng)，使其按黑客的意圖工作?！?/p>

該團(tuán)隊(duì)發(fā)現(xiàn)的漏洞中最嚴(yán)重的風(fēng)險(xiǎn)，是由服務(wù)器使用的JavaScript解析器中存儲的跨站點(diǎn)腳本漏洞（通常縮寫為XSS）造成的www.iCloud.com。這個(gè)漏洞使黑客能夠建立一種蠕蟲，在感染聯(lián)系人的iCloud帳戶之前，先竊取用戶的iCloud文件。由于iCloud為Apple Mail提供服務(wù)，因此可以在向包含惡意代碼的iCloud.com電子郵件地址發(fā)送電子郵件后，白帽黑客能夠入侵iCloud帳戶。

目標(biāo)只需打開電子郵件就可以被黑客攻擊。一旦發(fā)生這種情況，隱藏在惡意電子郵件中的腳本允許黑客在瀏覽器中訪問iCloud時(shí)執(zhí)行目標(biāo)可能執(zhí)行的任何操作。

Curry說，存儲的XSS漏洞是可修復(fù)的，這意味著當(dāng)用戶只打開惡意電子郵件時(shí)，它可能會(huì)在用戶之間傳播。這樣的蠕蟲可以通過包含一個(gè)腳本來工作，該腳本向每個(gè)iCloud.com網(wǎng)站或者M(jìn)ac.com網(wǎng)站受害者聯(lián)系名單上的地址。

在查找錯(cuò)誤的過程中，Curry和他的團(tuán)隊(duì)意外揭開了蘋果公司在線基礎(chǔ)架構(gòu)規(guī)模的面紗。他們發(fā)現(xiàn)，蘋果擁有超過25,000臺Web服務(wù)器，分別屬于Apple.com，iCloud.com和7,000多個(gè)其他唯一域。許多漏洞是通過搜索Apple擁有的不起眼的Web服務(wù)器（例如其杰出教育者網(wǎng)站）發(fā)現(xiàn)的。

在為蘋果杰出教育者保留的網(wǎng)站中，另一個(gè)漏洞是當(dāng)有人提交了一份包括用戶名、姓氏、電子郵件地址和雇主的申請時(shí)，它分配了一個(gè)默認(rèn)密碼-“無效”的結(jié)果（“###INvALID#%!3”）。

Curry寫道：“如果有人使用這個(gè)系統(tǒng)進(jìn)行申請，并且有可以手動(dòng)驗(yàn)證的功能，你只需使用默認(rèn)密碼登錄他們的賬戶，可以完全繞過‘用蘋果登錄’的登錄方式”。

最終，黑客們能夠使用暴力破解的方法來預(yù)測一個(gè)名為“erb”的用戶，并以此手動(dòng)登錄到該用戶的帳戶。黑客隨后又登錄到其他幾個(gè)用戶帳戶，其中一個(gè)帳戶在網(wǎng)絡(luò)上擁有“核心管理員”權(quán)限。

通過控制界面，黑客可以在控制ade.apple.com網(wǎng)站子域和訪問的存儲用戶帳戶憑據(jù)的內(nèi)部LDAP服務(wù)。這樣一來，他們就可以訪問蘋果剩下的大部分內(nèi)部網(wǎng)絡(luò)。

總體來看，Curry的團(tuán)隊(duì)發(fā)現(xiàn)并報(bào)告了55個(gè)漏洞，嚴(yán)重程度分別為11個(gè)嚴(yán)重級別、29個(gè)高級別、13個(gè)普通級別和2個(gè)低級別。這些名單和他們被發(fā)現(xiàn)的日期都列在了Curry的博客文章中。

在Curry報(bào)告了這些漏洞并提出建議的幾個(gè)小時(shí)內(nèi)，蘋果公司便立即修復(fù)了這些漏洞。截至目前，蘋果公司已經(jīng)處理了大約一半的漏洞，并承諾支付288500美元。Curry說，一旦蘋果處理完剩余的漏洞，他們的支付總額可能超過50萬美元。

對此，蘋果公司發(fā)表聲明如下：

在Apple，我們會(huì)警惕地保護(hù)我們的網(wǎng)絡(luò)，并擁有專門的信息安全專業(yè)人員團(tuán)隊(duì)，他們致力于檢測并響應(yīng)威脅。一旦研究人員提醒我們注意其報(bào)告中詳述的問題，我們將立即修復(fù)漏洞，并采取措施來防止此類將來的問題。根據(jù)我們的日志，研究人員是第一個(gè)發(fā)現(xiàn)漏洞的人，因此我們確信不會(huì)濫用任何用戶數(shù)據(jù)。我們重視與安全研究人員的合作，以幫助確保我們的用戶安全，感謝該團(tuán)隊(duì)的協(xié)助，公司將從蘋果網(wǎng)絡(luò)安全賞金計(jì)劃中獎(jiǎng)勵(lì)他們。

（雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)）

 參考來源：

https://www.wired.com/story/researchers-found-55-flaws-in-apples-corporate-network/

https://www.businessinsider.com/hackers-find-55-flaws-in-apples-systems-win-288500-bounty-2020-10

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。