Один промпт — всё, что нужно, хакеру для взлома 56-миллиардной империи Lenovo

Недавно на веб-сайте Lenovo была обнаружена серьёзная проблема, связанная с корпоративным чат-ботом Lena, предназначенным для помощи пользователям. Эксперты Cybernews обнаружили, что Lena подвержена серии XSS-атак, позволяющих злоумышленникам внедрять произвольный код с помощью всего лишь одного запроса, что даёт возможность похищать активные cookie-файлы и даже запускать скрипты на компьютерах сотрудников службы поддержки. Масштаб проблемы был настолько велик, что при определенных обстоятельствах злоумышленник мог захватывать рабочие сессии агентов и использовать их для доступа к закрытым корпоративным ресурсам без необходимости вводить учётные данные.

Уязвимость была связана с некорректной обработкой как входящих запросов, так и ответов чат-бота. Lena легко выполняла инструкции пользователя и могла генерировать ответы в формате HTML, что давало возможность внедрять вредоносный код. Исследователи показали, что специально разработанный запрос длиной около 400 символов содержал четыре ключевых элемента: обычный вопрос о характеристиках ноутбука Lenovo, указание преобразовать ответ в несколько форматов, включая HTML, вставку HTML-кода с “пустым” изображением, которое при загрузке запускало отправку cookie-файлов на сервер злоумышленника, и завершающее указание, побуждающее бота обязательно отобразить изображение.

После того как Lena создавала такой ответ, вредоносный код сохранялся в истории чата. Когда пользователь или сотрудник поддержки открывал этот диалог, браузер автоматически выполнял внедренные команды, а данные сессии отправлялись на сторонний сервер. Затем, при передаче диалога живому оператору, его компьютер также загружал сохраненный HTML, и cookie-файлы сотрудника могли быть украдены злоумышленниками. Эти данные позволяли получить доступ к системе поддержки от имени агента без ввода логина и пароля, открывая доступ к текущим и архивным чатам клиентов.

Последствия подобной атаки выходят далеко за рамки кражи cookie-файлов. Cybernews отмечает, что внедренный код мог изменять интерфейс платформы, внедрять кейлоггеры для записи нажатий клавиш, перенаправлять операторов на фишинговые сайты, создавать всплывающие окна с ложными сообщениями или запускать загрузку вредоносного ПО. В перспективе эта атака могла быть использована как начальная точка для более глубокого проникновения в корпоративную сеть Lenovo, установки бэкдоров и перемещения по внутренней сети.