利用强生公司Web应用程序中的漏洞
摘要
安全研究员Eaton披露了强生公司校园招聘和审计跟踪管理系统Web应用程序中的漏洞,这些漏洞导致学生数据泄露,并因使用硬编码API密钥的身份验证缺陷而允许管理员接管。
暂无内容
查看缓存全文
缓存时间: 2026/06/24 22:54
# 强生Web应用漏洞利用
来源:https://eaton-works.com/2026/06/24/jnj-webapp-hacks
Eaton•2026年6月24日
今天我要披露在强生(Johnson & Johnson)两款截然不同的Web应用中发现的漏洞。一个是校园招聘系统漏洞,暴露了近1000名学生的详细信息;另一个是内部审计系统的管理员接管漏洞,该系统被20家公司使用。让我们深入探讨!
## **#1:校园招聘(Campus Recruiting)**
你知道大学校园里的招聘会和招聘活动吗?强生喜欢参加这些活动来挖掘新人才。他们搭建了一个“校园招聘”网站来管理这些活动:
学生们会收到一个活动密钥,并用它提交个人信息:
看起来没什么特别的……直到你查看网站底层代码,发现了一些有趣的私人招聘人员路由!
当你访问“/recruiter”时,会被重定向到Microsoft SSO登录页面,确认这部分网站仅限强生员工访问:
认证设置非常简单。Microsoft认证库(MSAL)(https://learn.microsoft.com/en-us/entra/identity-platform/msal-overview)被集成到前端,负责确保员工已登录:
一个客户端技巧经常帮助我暴露不安全的Web应用——修改MSAL使其始终认为有人登录。如果底层API没有正确使用令牌,这种方法能快速发现此类问题。在这个案例中,我只需要修改MSAL代码,使其始终返回一个“已登录”账户的详细信息:
完成后,私人招聘人员路由变得可访问。你可以管理活动、创建新活动,以及查看所有学生的信息。招聘人员仪表板还允许查看他们对特定学生的评分和面试备注:
问题出在哪里:MSAL令牌实际上根本没有被使用。相反,一个硬编码的API密钥被用于向其AWS API进行身份验证:
*受影响的近1000名学生。* 校园招聘网站此后已更新,将API密钥认证替换为Bearer令牌(MSAL)认证。
## **#2:审计跟踪管理系统(Audit Tracking Management System)**
审计跟踪管理系统(ATMS)是一个内部Web应用,用于帮助管理强生及其关联公司所有审计工作:
1. LifeScan
2. Ethicon, Inc
3. Biosense Webster
4. ITS
5. Depuy
6. Ethicon-Endo
7. Janssen
8. Vistakon
9. Acclarent
10. JDx
11. Sterilmed
12. CLS
13. JJSV
14. Cerenovus
15. EQ
16. Janssen UK & Ireland
17. RAD
18. Abiomed Inc.
19. CQ MedTech
20. V-Wave
这个漏洞比校园招聘更难进入。访问网站时,你立即被重定向到Microsoft SSO登录页面。在此之前,ReactJS应用会被下载,其中可以找到许多有趣的API:
我决定访问“getAllUsers”API,看看会发生什么。它返回了一份包含13,600名强生员工的列表:
这很关键,因为这意味着所有API都是未经认证的,只需要破解客户端代码就能获得完全访问权限。
以下是认证代码的样子。与校园招聘一样,它使用MSAL通过Microsoft SSO认证用户,然后将一些值设置到localStorage中。没有看到使用Bearer令牌的迹象,这对我们有利!
为了让用户伪装成功,我需要找到一个使用此系统的有效强生员工的用户名和WWID,最好是有较高权限的员工。我在帮助页面上找到了系统管理员的详细信息:
用该名称在getAllUsers API中搜索用户,找到了所需信息,并编写了一个补丁:
这阻止了登录重定向,并将硬编码值设置到localStorage中,就像刚刚完成有效登录一样。结果出现了新内容:
点击“确定”并不是解决方案。让我们回到代码中……
这是创建会话的代码。它只是一个GET请求,访问一个返回会话GUID的API,并设置一个时间戳用于计算过期时间。访问该API,它返回了一个有效的会话ID:
然后我手动插入了该会话ID,并附带一个有效的时间戳……
刷新后,我成功进入了!
你可以使用下拉菜单在公司之间切换:
作为管理员,我可以访问一个特殊菜单:
我探索的范围大致如此。该系统充满了可能属于机密的信息和记录。即使远在俄罗斯也能访问。由于各种保密警告,我决定在此不展示任何内部会议记录或文件。
额外发现:他们使用了一种相当愚蠢的客户端加密方案,试图隐藏一些秘密值。讽刺的是,如果像这样的代码被发布出来,似乎这个审计系统从未接受过自身的审计:
## **时间线**
我上一次向强生报告安全漏洞是2024年(https://eaton-works.com/2024/05/16/jnj-mobility-hack/)。当时的体验非常好——他们立即采取行动,合作非常愉快。而这次报告这两个漏洞的体验就不那么积极了。
这两个漏洞都是在2025年10月报告的。到月底,他们修复了校园招聘漏洞。然而,ATMS漏洞从未被处理。我连续跟进数月,直到2026年4月,我请一位记者朋友帮忙推动进展。正如所料,他们给强生媒体关系部发的邮件最终促成了修复。令人困惑的是,需要新闻界介入才能解决我认为是严重内部数据泄露隐患的问题。
完整时间线:
- **2025年10月6日:** 向强生漏洞报告计划(https://www.jnj.com/coordinated-vulnerability-disclosure-statement)报告。
- **2025年10月16日:** 在未收到回复和未采取行动后跟进。
- **2025年10月17日:** 收到强生首次回复,确认将调查发现。
- **2025年10月31日:** 校园招聘漏洞修复;我询问ATMS情况。
- **2025年11月17日:** 在未收到回复和未对ATMS采取行动后跟进。
- **2025年12月22日:** 在未收到回复和未对ATMS采取行动后跟进。
- **2026年1月22日:** 在未收到回复和未对ATMS采取行动后跟进。
- **2026年4月8日:** 联系记者。
- **2026年4月21日:** ATMS漏洞最终修复。
- **2026年6月24日:** 发布
强生这次的表现不尽如人意。相比2025年,他们在2024年处理漏洞时似乎高效得多。我希望他们能纠正过程中出现的问题,以便恢复我在2024年所体验到的出色报告反馈。
## 订阅新文章
每次有新内容发布时,都会收到电子邮件通知。
相似文章
揭露CBSE屏幕标记门户的关键漏洞
一名安全研究人员发现了CBSE屏幕标记门户中的关键漏洞,包括硬编码的主密码和认证绕过,这可能导致完全接管账户并篡改考试评估。
Vercel 遭入侵:OAuth 攻击暴露平台环境变量风险
2024 年 6 月的一次入侵在 2026 年 4 月被披露:攻击者利用被攻破的第三方 OAuth 应用潜入 Vercel 内部并泄露客户环境变量,凸显 OAuth 供应链风险与平台密钥管理缺陷。
PeopleSoft 零日漏洞影响数百家组织,窃取数GB数据
ShinyHunters 组织正在积极利用一个关键 PeopleSoft 零日漏洞,危及数百家组织安全,并窃取数 GB 数据,其中单一受害者就损失了 48GB 数据。
Megalodon:通过CI工作流大规模后门GitHub仓库
一项安全研究揭示了一种名为Megalodon的技术,通过利用CI工作流大规模后门GitHub仓库。
大规模泄密事件泄露数千个敏感网络凭证
一起大规模泄密事件暴露了包括一家北约国防承包商在内的数千个敏感网络的凭证,攻击者使用一个45-GPU集群破解VPN认证哈希,并入侵了Active Directory环境。