Testa a velocidade da tua internet com o

Encontrou um bug na Ferrari, reportou e agora está no Hall of Fame

12 mai 2023 15:41

David Sopas, da Char49, descobriu uma vulnerabilidade no subdomínio de media da Ferrari que podia ter levado a um ataque informático com roubo de credenciais. O problema já está resolvido e o especialista de segurança português entrou para a “lista de fama” da Ferrari, pelo menos no programa de deteção de bugs.

“Alguma vez pensou como se sente alguém que tem um Ferrari? Nós já. Não o carro em si, mas o acesso à base de dados de credenciais”. É assim que começa a nota da Char49 sobre a descoberta de um bug na Ferrari, no âmbito do programa de procura de bugs, o Ferrari Responsible Disclosure Program.

A vulnerabilidade afetava um subdomínio da Ferrari, o media.ferrari.com, através de um plugin de Wordpress que permitia a um atacante ler ficheiros de forma arbitrária no web server da empresa. O plugin W3 Total Cache é usado por milhões de utilizadores de Wordpress para melhorar o desempenho dos sites, mas é também um alvo habitual dos hackers.

David Sopas, da empresa de segurança portuguesa, fez uma avaliação do risco para explorar a vulnerabilidade e demonstrar o impacto e captar a base de dados de credenciais de acesso.

Um artigo hoje publicado mostra a investigação feita por David Sopas, explicando o percurso da investigação e a forma como foram usadas várias ferramentas até encontrar a vulnerabilidade.

“Foi preciso algum esforço para perceber que a Ferrari estava a usar o Wordpress, o CMS grátis e open source”, adianta a informação hoje publicada, onde se indica que o plugin em causa estava bastante desatualizado.

Depois de garantir acesso ao site era necessário conseguir aceder ao ficheiro onde as credenciais estão guardadas, um processo de investigação que passou pela deteção do sistema operativo usado e o servidor HTTP. No final foi bem sucedido, como se mostra na imagem abaixo, com dados sensíveis mascarados.

A investigação do especialista de segurança foi bem-sucedida e a Ferrari foi rápida a corrigir o problema, adicionando David Sopas, responsável pela descoberta do bug, ao seu Hall of Fame.

Na publicação a Char49 nota que todos os donos de sites e administradores devem manter-se vigilantes quanto à segurança e que a verificação regular de vulnerabilidades e testes de penetração são essenciais para identificar e endereçar riscos de segurança antes que sejam explorados por hackers.