Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Tìm lỗ hổng trên Facebook, vô tình phát hiện backdoor được cài trước đó
Trong khi tìm kiếm lỗ hổng trên Facebook, một chuyên gia an ninh đã vô tình phát hiện đoạn script của backdoor đang ghi lại thông tin cho một số ứng dụng backend của nhân viên hãng này.
Orange Tsai, chuyên viên tư vấn của DevCore, dành khá nhiều thời gian rảnh rỗi cho việc tìm và hỗ trợ vá lỗ hổng cho các công ty lớn. Cuối tháng 2 vừa qua, Tsai đã quyết định tham gia chương trình tìm kiếm lỗ hổng trên trang mạng xã hội khổng lồ Facebook. Chuyên gia đã map một số dịch vụ backend của hãng này tới các máy chủ có thể và thử xâm nhập.
Xâm nhập ứng dụng chia sẻ tập tin nội bộ của Facebook
Việc nghiên cứu dẫn Tsai đến domain files.fb.com, là một dịch vụ file transfer và file hosting trực tuyến, chạy trên ứng dụng truyền tập tin an toàn FTA (Secure File Transfer) của Accellion.
Sau khi xác định loại và phiên bản ứng dụng, chuyên gia tìm hiểu về source code và phát hiện 3 lỗ hổng XSS (cross-site scripting), 2 vấn đề cho phép leo thang đặc quyền hệ thống, một vấn đề pre-auth SQL injection dẫn đến thực thi mã từ xa.
Tsai đã sử dụng lỗ hổng SQL injection vừa phát hiện trên ứng dụng FTA để truy cập vào máy chủ của Facebook và sau đó chiếm quyền kiểm soát hoàn toàn thiết bị.
Từ kết quả có được, chuyên gia thu thập các thông tin cần thiết để thông báo tới nhân viên của Facebook. Trong khi xem một trong những file log của máy chủ, Tsai phát hiện rất nhiều thông báo lỗi đáng ngờ.
Đã có kẻ xâm nhập máy chủ, không phải trong chương trình tìm lỗ hổng của Facebook
Lần theo dấu các thông báo lỗi, Tsai phát hiện một webshell mà chuyên gia chắc chắn không phải do một nhân viên Facebook upload lên. Nghi ngờ đoạn mã của webshell, Tsai tìm bằng chứng của keylogger phía máy chủ cho thấy đoạn mã can thiệp hoạt động đăng nhập và lưu trữ thông tin đăng nhập của nhân viên Facebook trong file log nội bộ.
Chuyên gia sau đó xem các file log khác và phát hiện cách thức tin tặc xâm nhập trong các khoảng thời gian khác nhau để thu thập dữ liệu log, map mạng nội bộ, và cố lấy cắp các khóa riêng tư SSL.
Thông tin chi tiết cho thấy 2 khoảng thời gian mà tin tặc hoạt động là tháng 7/2015 và sau đó một lần vào tháng 12/2015.
Tsai đã gửi thông báo cho Facebook về vụ việc. Hãng này sau đó đã tiến hành điều tra forensic và trao tặng cho chuyên gia 10.000 USD cho phát hiện của mình.
Orange Tsai, chuyên viên tư vấn của DevCore, dành khá nhiều thời gian rảnh rỗi cho việc tìm và hỗ trợ vá lỗ hổng cho các công ty lớn. Cuối tháng 2 vừa qua, Tsai đã quyết định tham gia chương trình tìm kiếm lỗ hổng trên trang mạng xã hội khổng lồ Facebook. Chuyên gia đã map một số dịch vụ backend của hãng này tới các máy chủ có thể và thử xâm nhập.
Xâm nhập ứng dụng chia sẻ tập tin nội bộ của Facebook
Việc nghiên cứu dẫn Tsai đến domain files.fb.com, là một dịch vụ file transfer và file hosting trực tuyến, chạy trên ứng dụng truyền tập tin an toàn FTA (Secure File Transfer) của Accellion.
Sau khi xác định loại và phiên bản ứng dụng, chuyên gia tìm hiểu về source code và phát hiện 3 lỗ hổng XSS (cross-site scripting), 2 vấn đề cho phép leo thang đặc quyền hệ thống, một vấn đề pre-auth SQL injection dẫn đến thực thi mã từ xa.
Tsai đã sử dụng lỗ hổng SQL injection vừa phát hiện trên ứng dụng FTA để truy cập vào máy chủ của Facebook và sau đó chiếm quyền kiểm soát hoàn toàn thiết bị.
Từ kết quả có được, chuyên gia thu thập các thông tin cần thiết để thông báo tới nhân viên của Facebook. Trong khi xem một trong những file log của máy chủ, Tsai phát hiện rất nhiều thông báo lỗi đáng ngờ.
Đã có kẻ xâm nhập máy chủ, không phải trong chương trình tìm lỗ hổng của Facebook
Lần theo dấu các thông báo lỗi, Tsai phát hiện một webshell mà chuyên gia chắc chắn không phải do một nhân viên Facebook upload lên. Nghi ngờ đoạn mã của webshell, Tsai tìm bằng chứng của keylogger phía máy chủ cho thấy đoạn mã can thiệp hoạt động đăng nhập và lưu trữ thông tin đăng nhập của nhân viên Facebook trong file log nội bộ.
Chuyên gia sau đó xem các file log khác và phát hiện cách thức tin tặc xâm nhập trong các khoảng thời gian khác nhau để thu thập dữ liệu log, map mạng nội bộ, và cố lấy cắp các khóa riêng tư SSL.
Thông tin chi tiết cho thấy 2 khoảng thời gian mà tin tặc hoạt động là tháng 7/2015 và sau đó một lần vào tháng 12/2015.
Tsai đã gửi thông báo cho Facebook về vụ việc. Hãng này sau đó đã tiến hành điều tra forensic và trao tặng cho chuyên gia 10.000 USD cho phát hiện của mình.
Nguồn: Softpedia
