深度解读：利用 Johnson & Johnson 内部 Web 应用漏洞

背景

Johnson & Johnson（强生公司，以下简称 JnJ）作为全球医疗健康巨头，拥有庞大的数字化基础设施和复杂的内部系统。近期，一名安全研究人员披露了其在 JnJ 两个截然不同的 Web 应用中发现的严重安全漏洞。这两个漏洞分别涉及面向外部候选人的校园招聘系统，以及服务于 JnJ 及其旗下多家子公司（如 LifeScan、Ethicon、Janssen 等）的内部审计管理系统。

此次披露不仅揭示了具体的技术缺陷，更反映了 JnJ 在漏洞响应机制上的显著变化。与 2024 年高效、专业的漏洞处理体验不同，2025 年至 2026 年期间的漏洞修复过程漫长且被动，最终不得不借助媒体压力才得以解决。

核心内容

本次披露主要包含两个独立的安全案例，分别针对校园招聘系统和内部审计系统。

1. 校园招聘系统：MSAL 前端欺骗与硬编码密钥

漏洞背景 JnJ 使用一个名为“Campus Recruiting”的网站来管理校园招聘活动。学生通过输入活动密钥提交个人信息。表面上看，这是一个普通的公开表单，但后端代码暴露了仅限 JnJ 员工访问的管理员路由。

技术细节

• 认证机制缺陷：该网站前端集成了 Microsoft Authentication Library (MSAL) 以强制员工进行 Microsoft SSO 登录。然而，后端 API 并未真正验证 MSAL 生成的 Bearer Token。
• 攻击向量：研究人员利用前端 JavaScript 的可控性，通过修改 MSAL 代码，使其始终返回一个“已登录”的模拟账户信息。
• 根本原因：后端 API 实际上使用的是一个硬编码的 API Key 进行 AWS API 认证，而非依赖前端传递的身份令牌。这意味着，只要前端被欺骗认为用户已登录，攻击者即可绕过身份验证，直接访问后端接口。

危害后果 一旦绕过认证，攻击者可以：

• 管理招聘活动，创建新活动。
• 查看近 1,000 名学生的详细信息。
• 查看招聘人员对特定学生的评分和面试笔记。

修复状态 该漏洞已于 2025 年 10 月 31 日修复，JnJ 将 API 密钥认证替换为正确的 Bearer Token 认证。

2. 审计追踪管理系统 (ATMS)：无认证 API 与客户端会话劫持

漏洞背景 ATMS 是一个内部 Web 应用，旨在管理 JnJ 及其关联公司（包括 LifeScan、Ethicon、Biosense Webster、Depuy、Janssen 等 20 多家实体）的审计工作。该系统包含大量机密信息和会议记录。

技术细节

• 未认证 API 暴露：访问该站点时，ReactJS 应用会下载并包含多个 API 端点。研究人员发现 getAllUsers API 无需认证即可访问，并返回了 13,600 名 JnJ 员工的列表。这表明后端 API 普遍缺乏身份验证保护。
• 前端逻辑欺骗：
  1. 系统使用 MSAL 进行 Microsoft SSO 登录，并将用户信息（用户名、WWID）存储在前端 Local Storage 中。
  2. 后端并未验证这些存储的值，而是依赖前端逻辑。
  3. 研究人员通过 getAllUsers API 找到了系统管理员的姓名，并从中提取了有效的用户名和 WWID。
  4. 通过修改前端代码，阻止登录重定向，并强制将管理员的凭据写入 Local Storage，模拟成功登录状态。
• 会话生成：登录后，前端会向 API 发起 GET 请求以获取会话 GUID 和过期时间戳。研究人员手动构造该请求，获取了有效的会话 ID，从而完全接管了管理员账户。

危害后果

• 攻击者获得了 ATMS 系统的完全管理员权限。
• 可以切换查看旗下所有子公司的审计数据。
• 访问包含机密信息的内部会议纪要和转录文本。
• 由于攻击者位于俄罗斯，且系统未对地理位置进行限制，数据泄露风险极高。

修复状态 该漏洞在 2025 年 10 月 17 日报告后，JnJ 长期未采取行动。直到 2026 年 4 月，在研究人员联系媒体朋友介入后，JnJ 才于 4 月 21 日修复该漏洞。

3. 其他发现：脆弱的客户端加密

在 ATMS 系统中，研究人员发现 JnJ 使用了一种极其简单的客户端加密方案来试图隐藏某些敏感值。这种“安全通过 obscurity（隐蔽性）”的做法不仅无效，反而暴露了开发团队对安全最佳实践的忽视。讽刺的是，这样一个审计系统本身却未能通过代码审计。

关键要点

• 前端认证不可信：两个案例均证明，仅在前端（Client-side）进行身份验证或状态管理是极度危险的。MSAL 等库在前端被篡改后，若后端不严格验证令牌或会话，将导致完全的身份绕过。
• 硬编码凭证风险：Campus Recruiting 系统使用硬编码 API Key 而非动态令牌，这是严重的安全反模式，使得任何能访问前端代码的攻击者都能轻易获取后端访问权限。
• API 缺乏访问控制：ATMS 系统中的 getAllUsers 接口无需认证即可返回大量员工数据，暴露了后端 API 普遍缺乏身份验证和授权检查。
• 数据敏感性：泄露的数据包括近 1,000 名学生的个人信息、面试评价，以及 13,600 名员工信息和多家子公司的机密审计记录，潜在影响范围巨大。
• 漏洞响应机制失效：
  • 2024 年：JnJ 的漏洞响应被描述为“卓越”，行动迅速。
  • 2025-2026 年：ATMS 漏洞报告后，JnJ 在长达 6 个月的时间里未采取任何行动，直到媒体介入才修复。这显示出其内部安全响应流程可能出现严重退化或官僚化。
• 时间线回顾：
  • 2025-10-06：报告漏洞。
  • 2025-10-31：校园招聘漏洞修复。
  • 2025-11 至 2026-04：ATMS 漏洞无响应。
  • 2026-04-21：ATMS 漏洞修复（媒体介入后）。
  • 2026-06-24：公开披露。

意义与影响

1. 对企业的警示：安全左移与后端验证

此次事件再次强调，永远不要信任客户端。无论前端使用何种成熟的认证库（如 MSAL），后端必须独立验证每个请求的身份和权限。硬编码密钥和缺乏 API 认证是低级但致命的错误，应通过自动化安全测试和代码审计尽早发现。

2. 漏洞赏金计划（VRP）的有效性危机

JnJ 在 2024 年与 2025-2026 年间截然不同的响应表现，揭示了大型企业在维护漏洞赏金计划时的潜在风险。如果负责任的研究员发现响应效率大幅下降，可能会导致：

• 披露延迟：研究员可能选择公开披露而非私下报告，增加企业声誉风险。
• 信任破裂：削弱企业与白帽黑客社区的合作关系。
• 安全盲区：缺乏外部反馈可能导致内部安全流程僵化，无法及时发现新威胁。

3. 数据隐私与合规风险

泄露的学生个人信息和员工数据涉及 GDPR、CCPA 等数据隐私法规。虽然 JnJ 最终修复了漏洞，但长达数月的未修复状态意味着数据可能已被恶意利用。对于跨国企业而言，此类内部系统的数据泄露可能引发多国监管机构的调查和罚款。