西門子元宇宙泄露企業(yè)敏感數(shù)據(jù),可能存在更多嚴重漏洞

發(fā)布時間 2023-04-18

如今,元宇宙已經(jīng)不再是一個流行詞,但隨著近期ChatGPT和其他類似的人工智能工具又開始流行起來,虛擬世界的概念重新進入人們的視線內。同時也引起了一些威脅行為者的注意。


西門子,作為一家收入超過71萬億美元、在全球擁有30萬名員工的德國跨國公司,也趕上了元宇宙的紅潮。2022年,它與美國跨國技術公司NVidia合作建立了工業(yè)元宇宙。


最近,Cybernews研究團隊發(fā)現(xiàn),一個由西門子工廠和辦公室創(chuàng)建的數(shù)字平臺泄露了一些敏感信息。這些信息一旦被那些攻擊者拿到,很可能會對該公司和其他使用其服務的大公司產(chǎn)生毀滅性的后果,包括勒索軟件攻擊。不過西門子表示,這個問題目前已經(jīng)得到解決。


研究人員懷疑該網(wǎng)站或存在其他更嚴重的漏洞


3月1日,Cybernews研究團隊發(fā)現(xiàn)一個托管在metaverse.siemens.com域名上的環(huán)境文件,里面包含了ComfyApp的憑證和端點。另外,研究團隊還發(fā)現(xiàn)西門子泄露了WordPress里的四組用戶信息,以及系統(tǒng)中的三套后臺和身份驗證端點URL。


WordPress雖然只暴露了用戶名和頭像圖片信息,但四個基于西門子WordPress的子域都有漏洞。早在2017年,WordPress就曾修復過一個漏洞,因此研究人員懷疑這個網(wǎng)站可能還存在其他更嚴重的漏洞。


一般來說,用戶訪問網(wǎng)站前,需要通過后臺和認證端點URL驗證,所以攻擊者極有可能通過漏洞竊取信息并加以利用。此外,研究人員發(fā)現(xiàn)西門子辦公管理平臺ComfyApp的用戶憑證也被曝光,這十分令人擔憂。因為西門子公司的應用程序是專門用于工作空間管理的,所以這意味著該應用程序會獲取一些敏感數(shù)據(jù),包括平面圖、物聯(lián)網(wǎng)(IoT)設備的信息、員工日歷和內部圖片等。不過目前還不能確定如果僅使用ComfyApp憑證能獲取到多少上述的數(shù)據(jù)信息。


網(wǎng)絡新聞研究人員希望西門子能在那些威脅者發(fā)現(xiàn)前修復這個漏洞,因為西門子的信息中涉及到很多關鍵基礎設施使用的技術和機器,因此一旦信息被入侵,極可能造成大量敏感數(shù)據(jù)泄露。Cybernews團隊還表示:西門子的客戶中包括一些資產(chǎn)數(shù)十億(美元)的公司,有時會協(xié)助這些客戶處理一些極其敏感的數(shù)據(jù),這對于那些攻擊者來說是非常有價值的。