Un equipo de cinco investigadores de seguridad analizó varios servicios en línea de Apple durante tres meses y encontró hasta 55 vulnerabilidades, 11 de las cuales son de gravedad crítica.

Las fallas, incluidas 29 vulnerabilidades de gravedad alta, 13 de gravedad media y 2 de gravedad baja, podrían haber permitido que un atacante «comprometiera por completo las aplicaciones de los clientes y los empleados, lanzara un gusano capaz de apoderarse automáticamente de la cuenta de iCloud de la víctima, recuperar el código fuente de proyectos internos de Apple, comprometa por completo un software de almacén de control industrial utilizado por Apple y tome el control de las sesiones de los empleados de Apple con la capacidad de acceder a herramientas de administración y recursos confidenciales».

Las fallas significaban que un mal actor podría secuestrar fácilmente la cuenta de iCloud de un usuario y robar todas las fotos, información del calendario, videos y documentos, además de reenviar el mismo exploit a todos sus contactos.

Los hallazgos fueron informados por Sam Curry junto con Brett Buerhaus, Ben Sadeghipour, Samuel Erb y Tanner Barnes durante un período de tres meses entre julio y septiembre.

Después de que se revelaran responsablemente a Apple, el fabricante del iPhone tomó medidas para reparar las fallas en 1 o 2 días hábiles, y algunas otras se repararon en un breve lapso de 4 a 6 horas.

Hasta ahora, Apple ha procesado alrededor de 28 de las vulnerabilidades con un pago total de $ 288,500 como parte de su programa de recompensas por errores.

Los errores críticos señalados por Sam Curry y el equipo son los siguientes:

1. Ejecución remota de código mediante omisión de autorización y autenticación
2. La omisión de autenticación a través de permisos mal configurados permite el acceso de administrador global
3. Inyección de comandos a través de un argumento de nombre de archivo sin desinfectar
4. Ejecución remota de código a través de la herramienta de administración expuesta y secreto filtrado
5. La fuga de memoria conduce al compromiso de la cuenta del empleado y del usuario, lo que permite el acceso a varias aplicaciones internas
6. Inyección SQL de Vertica a través de un parámetro de entrada sin desinfectar
7. Wormable Stored XSS permite al atacante comprometer completamente la cuenta de iCloud de la víctima
8. Wormable Stored XSS permite al atacante comprometer completamente la cuenta de iCloud de la víctima
9. Full Response SSRF permite al atacante leer el código fuente interno y acceder a los recursos protegidos
10. Blind XSS permite al atacante acceder al portal de soporte interno para el seguimiento de problemas de clientes y empleados
11. La ejecución de PhantomJS del lado del servidor permite a un atacante acceder a los recursos internos y recuperar las claves de IAM de AWS

Uno de los dominios de Apple que se vio afectado incluía el sitio Apple Distinguished Educators («ade.apple.com») que permitía omitir la autenticación usando una contraseña predeterminada («### INvALID #%! 3»), lo que permitía que un atacante para acceder a la consola del administrador y ejecutar código arbitrario.

Asimismo, una falla en el proceso de restablecimiento de contraseña asociado con una aplicación llamada DELMIA Apriso, una solución de gestión de almacenes, permitió crear y modificar envíos, información de inventario, validar credenciales de empleados e incluso tomar el control total del software mediante la creación de un rogue. usuario.

También se descubrió una vulnerabilidad separada en el servicio Apple Books for Authors que utilizan los autores para ayudar a escribir y publicar sus libros en la plataforma Apple Books. Específicamente, utilizando la herramienta de carga de archivos ePub, los investigadores pudieron manipular las solicitudes HTTP con el objetivo de ejecutar comandos arbitrarios en el servidor «authors.apple.com».

Entre los otros riesgos críticos revelados por los investigadores se encuentran los derivados de la vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el dominio «www.icloud.com», que opera simplemente enviando un objetivo con iCloud.com o Mac.com a una dirección. correo electrónico especialmente diseñado que, cuando se abría a través de Apple Mail en el navegador, permitía al atacante robar todas las fotos y contactos.

Es más, la vulnerabilidad XSS era compatible con gusanos, lo que significa que podría propagarse fácilmente enviando un correo electrónico similar a cada dirección de iCloud.com o Mac.com almacenada en los contactos de la víctima.

«Cuando comenzamos este proyecto, no teníamos idea de que pasaríamos un poco más de tres meses trabajando para completarlo», señaló Sam Curry en su publicación de blog. «Originalmente, esto estaba destinado a ser un proyecto paralelo en el que trabajaríamos de vez en cuando, pero con todo el tiempo libre adicional con la pandemia, cada uno de nosotros terminó dedicando unos cientos de horas».