Nul
Facebook heeft besloten een ernstig lek in een vennootschap een server welke toegestaan de externe uitvoering van code door dreigingen.
Security-onderzoeker Daniel ‘Blaklis’ Le Gall, van SCRT informatie beveiliging, beveiligd door het $5.000 bug bounty voor het melden van de fout aan de sociale netwerken reus.
In een security advisory beschrijving van de kwetsbaarheid, de onderzoeker zei de bug werd ontdekt in één van de Facebook-servers.
Tijdens het scannen van een IP-bereik in verbinding met de onderneming, Blaklis vond een Sentry service, geschreven in Python met Django framework, dat verscheen onstabiel worden.
“De toepassing leek te zijn instabiel zijn over de wachtwoord reset-functie, die af en toe crashte,” de onderzoeker zei. “Django debug mode was niet uitgezet, dat daardoor drukt de hele omgeving als een stacktrace optreedt. Echter, Django afsnijden van de kritische informatie (wachtwoorden, geheimen, sleutel…) in die stacktraces, dus het vermijden van een enorme lekken van informatie.”
Bij nadere inspectie, Blaklis besefte dat hij in staat was om ter plaatse sessie cookie namen, opties, en de serializer in gebruik, genoemd Augurk. Augurk is een binair protocol dat wordt gebruikt om unserialize Python object structuren. Het systeem is in staat om unserialize klassen en methoden, in tegenstelling tot JSON of YMAL.
De geheime sleutel die wordt gebruikt door Django was niet beschikbaar in de stacktrace. Echter, de sentry opties lijst bevatte een sleutel die niet geknipt.
Volgens Sentry, wordt deze toets gebruikt “voor de sessie te ondertekenen [..] en als deze wordt aangetast het is belangrijk om te regenereren het zo anders is het veel makkelijker te kapen sessies.”
CNET: Facebook kicks uit Myanmar leger als de VN problemen genocide rapport
Gewapend met deze informatie stelt de onderzoeker in staat was om een script te smeden schadelijke cookies met willekeurige Augurk inhoud die is opgenomen met een laadvermogen van het overschrijven van de Sentry cookie.
TechRepublic: Als uw organisatie adverteert op Facebook, pas op voor deze nieuwe beperkingen
Het cookie in kwestie was dan overschreven met een willekeurige object. Om te testen of de beveiliging lek, Blaklis geïmplementeerd 30 seconden vertraging in plaats veroorzaken geen echte schade, van welke de poging was een succes.
Een bedreiging van de acteur kon het lek op afstand kapen van het systeem, het veroorzaken van schade en om hun gegevens te stelen van de server. Echter, Blaklis wil benadrukken dat er geen gegevens van de gebruiker is opgenomen in de server of worden blootgesteld door de bug.
De onderzoeker vervolgens rapporteerde zijn bevindingen aan Facebook op 30 juli.
Facebook snel toegegeven aan de lek en namen de server totdat er een patch is uitgevoerd op 9 augustus. Blaklis werd bekroond met $5.000 voor zijn bevindingen.
Zie ook: Medische gegevens van de middelbare school studenten gelekt in ‘verschrikkelijk’ data breach
In februari, Facebook patched een kwetsbaarheid die gelekte informatie van beheerders en duurde slechts enkele minuten te exploiteren.
Vorige en aanverwante dekking
Fortnite Epic Games CEO rails tegen Google vulnerability disclosure Hoe hackers slaagde erin om te stelen van $13,5 miljoen in Cosmos bank heist Hackers zichzelf te helpen aan de gegevens van 2 miljoen klanten van T-Mobile
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0