中資著名手機品牌疑似被黑，11GB內部敏感數據泄露

安全內參3月7日消息，一家數據泄露市場的用戶LeakBase宣稱， 已成功通過故障和錯誤獲得了中資背景的美國摩托羅拉公司JIRA系統的備份控制面板訪問權限。

據用戶LeakBase透露， 外泄的數據包括管理面板（即管理后臺）數據，以HTML格式導出并帶有截屏內容。該用戶還提到，數據包含多種文件格式， 總大小約為11 GB。

通過對泄露網站上共享的數據進行初步分析，分析師發現信息內容真實有效。外媒Cyber Express已經就此事向摩托羅拉發出置評請求。

自2022年3月以來，用戶LeakBase就一直活躍在該泄露論壇上。Cyber Express之前曾經報道過這名網站成員的多篇帖子，比如涉及德國托管IT服務商BITMARCK、美國互聯網營銷服務商Purecars等。

此次最新網絡安全事故的突破口，正是 摩托羅拉公司使用的JIRA軟件（由澳大利亞軟件公司Atlassian開發的應用程序）。

摩托羅拉移動的網絡威脅狀況

摩托羅拉公司曾是一家總部位于美國的跨國電信巨頭。但在2007年至2009年遭受數十億美元虧損之后，該公司于2011年拆分為兩家獨立的上市企業，分別為摩托羅拉移動和摩托羅拉解決方案。

作為重組計劃的一部分，摩托羅拉移動被拆分出來，在2014年被中國科技企業聯想收購，并仍以摩托羅拉品牌生產其產品。

目前，摩托羅拉移動是聯想集團的子公司，主要制造消費級電子產品，例如智能手機和其他基于Android系統的移動設備。

根據泄露網站的數據，此次流出的信息來自摩托羅拉移動。 樣本數據中提到的網站motorola.com是摩托羅拉移動公司的零售門戶。

這不是摩托羅拉移動近期唯一的安全事故。2022年6月，安全廠商Checkpoint發現中國芯片制造商紫光展銳生產的Tiger T700芯片存在漏洞，而2021年銷售的Moto G20、E30和E40設備采用的正是這款芯片。

當蜂窩調制解調器嘗試接入LTE網絡，且調制解調器的連接處理程序無法驗證有效用戶ID（例如國際移動用戶識別碼IMSI）時，就會觸發該漏洞，導致讀取零數字字段時發生堆棧溢出。一旦遭到利用，此漏洞可能導致拒絕服務攻擊甚至允許遠程代碼執行。

研究人員表示，尚不清楚其它紫光展銳應用處理器芯片是否也使用搭載相同固件的同款基帶調制解調器。

JIRA的歷史漏洞和安全問題

JIRA可幫助用戶團隊跟蹤問題、管理項目并實現工作流程自動化。 今年1月，Atlassian在發現JIRA軟件易受網絡攻擊后發出了警報。

該公司表示，當時發現的JIRA軟件漏洞可能允許黑客在受影響系統上遠程執行任意代碼。

相關披露說明稱，“在JIRA Service Management Server and Data Center中發現的身份驗證漏洞，允許攻擊者在特定情況下冒充為另一用戶，并獲得對JIRA Service Management 實例的訪問權限。”

2022年10月，網絡安全廠商Bishop Fox又報告了JIRA Align中的兩個漏洞。這些漏洞可能允許未經授權者訪問管理員區域，并威脅到Atlassian公司的云基礎設施。

其中一個漏洞為服務器端請求偽造（SSRF）缺陷，可能允許用戶檢索Atlassian服務賬戶的AWS憑證；另一缺陷來自用戶授權機制，允許獲得對JIRA Align租戶的管理員控制權。

研究人員發現，這些漏洞組合可能導致針對Atlassian云基礎設施的重大攻擊。

發現該漏洞的Bishop Fox公司安全顧問Jake Shafer解釋道，通過利用授權漏洞，低權限用戶可以將其角色升級為超級管理員，進而獲取對客戶JIRA部署中全部內容的訪問權限。