安全研究人员在关注向苹果提供技术的供应商后,通过参与苹果的漏洞奖励计划,发现了Pega Infinity漏洞。通过使用Burp套件(一个用于执行网络应用安全测试的集成平台),安全研究人员发现了Pega Infinity的一个密码重置漏洞,该漏洞可能允许攻击者绕过Pega Infinity的密码重置系统,从而导致完全的漏洞。

Pega Infinity和Pegasystems Inc.

Pega Infinity是一款流行的企业软件套件,提供客户服务和销售自动化、人工智能驱动的客户决策中心、劳动力智能和“无代码”开发平台。

Pegasystems Inc.是一家总部位于马萨诸塞州剑桥市的美国软件公司。Pegasystems成立于1983年,为客户关系管理(CRM)、数字过程自动化和业务过程管理(BPM)开发软件。

公众面对

与任何客户关系管理(CRM)工具一样,这些系统在很大程度上是面向公众的,并不一定要在内部运行。Pega的客户遍布各个行业,在报告时,一些客户包括FBI、美国空军、苹果和美国运通。例如,FBI利用Pega创建了一个面向公众的网站,作为所有注册枪支经销商的界面。当个人试图购买枪支时,授权用户可以安全地登录,并迅速向FBI提交背景检查请求。

已获取补丁

Pega很快与研究人员合作修补了这个漏洞,尽管他们需要时间让用户在本地运行Infinity来更新他们的安装。其中一名研究人员说,这个过程花了三个多月。在云计算中运行这类软件的好处之一是Pega可以向他们基于云计算的客户推出补丁。

CVE 2021 - 27651

公开披露的计算机安全漏洞列在常见漏洞和暴露(CVE)数据库中。它的目标是使跨单独的漏洞功能(工具、数据库和服务)共享数据变得更容易。该漏洞被分配cve - 2021 - 27651.描述:

在Pega Infinity的8.2.1到8.5.2版本中,本地账户的密码重置功能可以用来绕过本地认证检查。

概念证明(PoC)

有几个PoCs可以使用,包括YouTube上的完整视频,所以Pega Infinity企业软件平台的用户被建议更新他们的安装。概念验证演示了攻击者如何绕过Pega Infinity的密码重置系统。攻击者可以通过管理员远程执行代码,使用重置帐户完全破坏Pega实例。

版本更新的依赖

Pega建议他们的本地客户查看张贴的表格在这里以确定哪些修复程序与pegassystem安装对应。一旦确定了适当的热修复ID,他们就可以在就是支持门户.运行相关Pega版本的Pega Cloud环境正在被Pega主动修复。

保持安全,大家好!