На официальном сайте автоконцерна Ferrari была обнаружена уязвимость, которая могла позволить злоумышленникам получить доступ к конфиденциальной информации. Об этом сообщилаИБ-компания Char49.
Уязвимость была обнаружена в марте исследователями из Char49. Ferrari устранила проблему в течение недели. Исследователи заметили, что домен “media.ferrari.com” работает на WordPress и использует очень старую версию плагина W3 Total Cache, который установлен на более чем 1 млн. сайтов.
Плагин подвержен уязвимости CVE-2019-6715 (CVSS: 7.5) , которая позволяет неавторизованному злоумышленнику читать произвольные файлы. Эксплуатация уязвимости позволила исследователям получить файл “wp-config.php”, в котором хранятся учетные данные базы данных WordPress в открытом виде. В обнаруженной базе данных хранилась информация, связанная с доменом “media.ferrari.com”.
Хотя исследователи не стали слишком глубоко копать, чтобы не нарушить правила ответственного раскрытия информации, в Char49 отметили, что уязвимость могла быть использована для доступа к другим файлам на веб-сервере, включая те, которые могут содержать информацию, ценную для злоумышленников. После получения уведомления Ferrari исправила уязвимость, обновив плагин WordPress.
Хотя в данном случае нет признаков того, что информация о клиентах или другая чувствительная информация могли быть затронуты, важно, чтобы такие известные компании, как Ferrari, гарантировали отсутствие недостатков безопасности в своих системах.
В марте Ferrari признала, что стала жертвой атаки с вымогательским программным обеспечением, в ходе которой неизвестный хакер похитил информацию о клиентах и потребовал выкуп . Ferrari отказалась платить выкуп и сообщила клиентам, что в ходе атаки были раскрыты их личные данные.
Напомним, что Ferrari ранее уже подвергалась кибератаке в октябре 2022 года . Тогда банда вымогателей RansomEXX на своем сайте утечки заявила, что взломала IT-системы Ferrari и украла 6,99 ГБ данных, включая внутренние документы, базы данных, руководства по ремонту и т. д. Источник этих документов до сих пор не известен.