Las fallas, incluidas 29 vulnerabilidades de gravedad alta, 13 de gravedad media y 2 de gravedad baja, podrían haber permitido que un atacante «comprometiera por completo las aplicaciones de los clientes y los empleados, lanzara un gusano capaz de hacerse cargo automáticamente de la cuenta de iCloud de una víctima, recuperara el código fuente de proyectos internos de Apple, comprometer completamente un software de almacén de control industrial utilizado por Apple y hacerse cargo de las sesiones de los empleados de Apple con la capacidad de acceder a herramientas de gestión y recursos sensibles «.
Las fallas significaron que un mal actor podría secuestrar fácilmente la cuenta de iCloud de un usuario y robar todas las fotos, información del calendario, videos y documentos, además de reenviar el mismo exploit a todos sus contactos.
Los hallazgos fueron reportados por Sam Curry junto con Brett Buerhaus, Ben Sadeghipour, Samuel Erb y Tanner Barnes durante un período de tres meses entre julio y septiembre.
Después de que se divulgaron de manera responsable a Apple, el fabricante del iPhone tomó medidas para corregir las fallas en un plazo de 1 a 2 días hábiles, y algunas otras se solucionaron en un breve lapso de 4 a 6 horas.
Hasta ahora, Apple ha procesado alrededor de 28 de las vulnerabilidades con un pago total de $ 288,500 como parte de su programa de recompensas por errores.
Los errores críticos señalados por Sam Curry y el equipo son los siguientes:
- Ejecución remota de código a través de autorización y omisión de autenticación
- La omisión de autenticación mediante permisos mal configurados permite el acceso de administrador global
- Inyección de comandos a través del argumento de nombre de archivo no desinfectado
- Ejecución remota de código a través de un secreto filtrado y una herramienta de administrador expuesta
- La pérdida de memoria conduce al compromiso de la cuenta de los empleados y los usuarios, lo que permite el acceso a varias aplicaciones internas
- Inyección de Vertica SQL a través de un parámetro de entrada no desinfectado
- Wormable Stored XSS permite al atacante comprometer completamente la cuenta de iCloud de la víctima
- Wormable Stored XSS permite al atacante comprometer completamente la cuenta de iCloud de la víctima
- La SSRF de respuesta completa permite al atacante leer el código fuente interno y acceder a recursos protegidos
- Blind XSS permite al atacante acceder al portal de soporte interno para el seguimiento de problemas de clientes y empleados
- La ejecución de PhantomJS del lado del servidor permite a un atacante acceder a recursos internos y recuperar claves de AWS IAM
Uno de los dominios de Apple que se vieron afectados incluyó el sitio de Apple Distinguished Educators («ade.apple.com») que permitía una omisión de autenticación mediante una contraseña predeterminada («### INvALID #%! 3»), lo que permitía a un atacante para acceder a la consola de administrador y ejecutar código arbitrario.
Del mismo modo, una falla en el proceso de restablecimiento de contraseña asociado con una aplicación llamada DELMIA Apriso, una solución de administración de almacenes, hizo posible crear y modificar envíos, información de inventario, validar credenciales de empleados e incluso tomar el control total del software mediante la creación de una usuario.
También se descubrió una vulnerabilidad separada en el servicio Apple Books for Authors que utilizan los autores para ayudar a escribir y publicar sus libros en la plataforma Apple Books. Específicamente, utilizando la herramienta de carga de archivos ePub, los investigadores pudieron manipular las solicitudes HTTP con el objetivo de ejecutar comandos arbitrarios en el servidor «autores.apple.com».
Entre los otros riesgos críticos revelados por los investigadores se encuentran los que se derivan de la vulnerabilidad de cross-site scripting (XSS) en el dominio «www.icloud.com», que opera simplemente enviando un objetivo con la dirección iCloud.com o Mac.com a correo electrónico especialmente diseñado que, cuando se abre a través de Apple Mail en el navegador, permite al atacante robar todas las fotos y contactos.
Además, la vulnerabilidad XSS se podía eliminar, lo que significa que podría propagarse fácilmente enviando un correo electrónico similar a cada dirección de iCloud.com o Mac.com almacenada en los contactos de la víctima.
«Cuando comenzamos este proyecto, no teníamos idea de que pasaríamos un poco más de tres meses trabajando para completarlo», señaló Sam Curry en su publicación de blog. «Originalmente, esto estaba destinado a ser un proyecto paralelo en el que trabajaríamos de vez en cuando, pero con todo el tiempo libre extra con la pandemia, cada uno de nosotros terminamos dedicando unos cientos de horas».