BMW попал в ловушку фишеров из-за опасных перенаправлений

Специалисты Cybernews выявили два поддомена BMW, подверженных уязвимости, которая позволяла злоумышленникам перенаправлять пользователей на вредоносные сайты. Уязвимость под названием SAP Redirect затрагивала веб-серверы приложений SAP (SAP NetWeaver Application Server Java) и позволяла формировать поддельные ссылки на вредоносные сайты через поддомены BMW.

Уязвимость перенаправления SAP позволяет киберпреступнику подделать ссылку перенаправления, добавив ​​строку в поддомены:

«sap/public/bc/icf/logoff?redirecturl=https://maliciouswebsite[.]com»

Конечный URL-адрес будет выглядеть так:

«https://<...>.bmw[.]com/sap/public/bc/icf/logoff?redirecturl=https://maliciouswebsite[.]com»

Две уязвимые подсистемы BMW использовались для доступа ко внутренним системам дилеров BMW. Эксплуатация недостатка могла привести к целевому фишингу или распространению вредоносного ПО. Уязвимость позволяла атакующим перенаправлять пользователя на вредоносный сайт или внедрять произвольный контент на легитимный сайт, манипулируя параметрами URL затронутой системы SAP.

Ошибка не является критической, но открывает много возможностей для фишеров, нацеленных на сотрудников или клиентов компании. Например, можно отправить электронное письмо от имени руководства с просьбой выполнить какое-либо действие. Если пользователь откроет ссылку и введет свои учетные данные, атакующие могут получить доступ к системам для распространения вымогательского ПО или других целей. Также уязвимость может использоваться для массовых фишинговых кампаний, нацеленных на клиентов.

Атакующие могли использовать недостаток для кражи учетных данных или для распространения вредоносного ПО среди ничего не подозревающих пользователей. Когда жертва переходит по, казалось бы, легитимной ссылке, она перенаправляется на сайт злоумышленника. В этот момент в браузере клиента выполняется вредоносный JavaScript или пользователю предлагается ввести конфиденциальную информацию.

После обнаружения уязвимости исследователи Cybernews сообщили о ней в BMW, и она была оперативно устранена. Отмечается, что устраненная уязвимость не поставила под угрозу системы, связанные с BMW Group, а также не было утечки или неправомерного использования каких-либо данных. Представитель BMW заверил, что информационная безопасность является приоритетом для BMW Group. По словам компании, в BMW Group используется многоуровневый контроль безопасности при доступе ко внутренним системам.

Чтобы предотвратить уязвимости типа SAP Redirect, Cybernews рекомендует применять исправления SAP, следовать практикам безопасного кодирования и регулярно проводить оценки безопасности для выявления и предотвращения уязвимостей. Пользователям также следует быть осторожными при клике по ссылкам, даже если домен выглядит легитимным.