西門子元宇宙泄露企業(yè)敏感數(shù)據(jù),可能存在更多嚴(yán)重漏洞

發(fā)布時(shí)間 2023-04-18

如今,元宇宙已經(jīng)不再是一個(gè)流行詞,但隨著近期ChatGPT和其他類似的人工智能工具又開(kāi)始流行起來(lái),虛擬世界的概念重新進(jìn)入人們的視線內(nèi)。同時(shí)也引起了一些威脅行為者的注意。


西門子,作為一家收入超過(guò)71萬(wàn)億美元、在全球擁有30萬(wàn)名員工的德國(guó)跨國(guó)公司,也趕上了元宇宙的紅潮。2022年,它與美國(guó)跨國(guó)技術(shù)公司NVidia合作建立了工業(yè)元宇宙。


最近,Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn),一個(gè)由西門子工廠和辦公室創(chuàng)建的數(shù)字平臺(tái)泄露了一些敏感信息。這些信息一旦被那些攻擊者拿到,很可能會(huì)對(duì)該公司和其他使用其服務(wù)的大公司產(chǎn)生毀滅性的后果,包括勒索軟件攻擊。不過(guò)西門子表示,這個(gè)問(wèn)題目前已經(jīng)得到解決。


研究人員懷疑該網(wǎng)站或存在其他更嚴(yán)重的漏洞


3月1日,Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)一個(gè)托管在metaverse.siemens.com域名上的環(huán)境文件,里面包含了ComfyApp的憑證和端點(diǎn)。另外,研究團(tuán)隊(duì)還發(fā)現(xiàn)西門子泄露了WordPress里的四組用戶信息,以及系統(tǒng)中的三套后臺(tái)和身份驗(yàn)證端點(diǎn)URL。


WordPress雖然只暴露了用戶名和頭像圖片信息,但四個(gè)基于西門子WordPress的子域都有漏洞。早在2017年,WordPress就曾修復(fù)過(guò)一個(gè)漏洞,因此研究人員懷疑這個(gè)網(wǎng)站可能還存在其他更嚴(yán)重的漏洞。


一般來(lái)說(shuō),用戶訪問(wèn)網(wǎng)站前,需要通過(guò)后臺(tái)和認(rèn)證端點(diǎn)URL驗(yàn)證,所以攻擊者極有可能通過(guò)漏洞竊取信息并加以利用。此外,研究人員發(fā)現(xiàn)西門子辦公管理平臺(tái)ComfyApp的用戶憑證也被曝光,這十分令人擔(dān)憂。因?yàn)槲鏖T子公司的應(yīng)用程序是專門用于工作空間管理的,所以這意味著該應(yīng)用程序會(huì)獲取一些敏感數(shù)據(jù),包括平面圖、物聯(lián)網(wǎng)(IoT)設(shè)備的信息、員工日歷和內(nèi)部圖片等。不過(guò)目前還不能確定如果僅使用ComfyApp憑證能獲取到多少上述的數(shù)據(jù)信息。


網(wǎng)絡(luò)新聞研究人員希望西門子能在那些威脅者發(fā)現(xiàn)前修復(fù)這個(gè)漏洞,因?yàn)槲鏖T子的信息中涉及到很多關(guān)鍵基礎(chǔ)設(shè)施使用的技術(shù)和機(jī)器,因此一旦信息被入侵,極可能造成大量敏感數(shù)據(jù)泄露。Cybernews團(tuán)隊(duì)還表示:西門子的客戶中包括一些資產(chǎn)數(shù)十億(美元)的公司,有時(shí)會(huì)協(xié)助這些客戶處理一些極其敏感的數(shù)據(jù),這對(duì)于那些攻擊者來(lái)說(shuō)是非常有價(jià)值的。