Instagramはリモートでコード実行を悪用しやすい

ソフトウェア会社やソーシャルサービスは、製品の脆弱性を発見するためにバグハンターに依存することがよくあります. でも, 時々誤解が起こります, そして現在の場合のように, 法的措置が脅かされる可能性があります. Wesley Weinbergは、Synackの上級セキュリティ研究者です。.

ハッカーニュースによって報告されたように, 彼は最近、Facebookのバグバウンティプログラムに参加しました, 彼の友人の一人がsensu.instagramの潜在的な脆弱性についてのヒントを彼に与えた後(.)com.

sensu.instagramのリモートコード実行の脆弱性(.)com

これが、Weinbergがリモートコード実行を発見した方法です (RCE) sensu.instagramの方法の脆弱性(.)comはセッションCookieを処理しました, ユーザーログインの詳細を記憶するために使用.

RCEのバグは、2つの主な問題が原因で発生する可能性があります:

1. サーバー上で実行されているSensu-AdminWebアプリには、ハードコードされたRubyシークレットトークンが含まれていました.
2. Rubyのバージョンを実行しているホスト (3.バツ) RubyセッションCookieを介したコード実行の影響を受けやすい.

ここに興味深い部分があります. 脆弱性を悪用することによって, 研究者は、InstagramとFacebookのユーザー名と会社の従業員のパスワードを含む巨大なデータベースをサーバーに吐き出すように強制することができました. パスワードはbcrypt暗号化で保護されていても, ワインバーグは、弱いパスワードを簡単に解読しました.

おそらくこの発見に唖然としました, ワインバーグは止めたくなかった, それで彼は研究を続けました.

次に、sensu.instagramで見つけた他の構成ファイルを調査しました。(.)comのサーバーは、ファイルの1つに、InstagramのSensuセットアップをホストするために後者が使用するAmazonWebServicesアカウントのキーが含まれていることを発見しました。. その後、彼の調査により、リストされているキーが明らかになりました 82 Amazons3のユニークなバケット (ストレージユニット). バケット内の最新のファイルに問題はありませんでした. でも, 古いバージョンには、彼がすべての内容を読むことを可能にする別のキーペアが含まれていました 82 バケツ:

Instagramのソースコード
SSL証明書と秘密鍵 (instagram.comと*.instagram.comを含む)
他のサービスとのやり取りに使用されるAPIキー
Instagramユーザーがアップロードした画像
instagram.comウェブサイトからの静的コンテンツ
メールサーバーの資格情報
iOS/Androidアプリの署名キー

Facebookの反応

論理的に, ワインバーグは、彼の重要な発見をFacebookのセキュリティチームに報告し続けました. でも, Facebookは、脆弱性自体よりも、研究者が従業員やユーザーの個人データにアクセスするという事実に関心を持っていました。. Facebookは彼の仕事に対して報酬を与えなかっただけでなく、彼らは彼を彼らのバグ報奨金プログラムから失格させました.

これがFacebookの公式声明です:

私たちはセキュリティ研究者コミュニティの強力な支持者であり、バグバウンティプログラムを通じて何千人もの人々と前向きな関係を築いてきました。. これらの相互作用には信頼が含まれている必要があります, でも, これには、発見されたバグの詳細を報告し、不正な方法で個人情報にアクセスするためにそれらを使用していないことが含まれます. この場合, 研究者は意図的に私たちのチームからのバグや情報を差し控え、私たちのプログラムのガイドラインをはるかに超えて非公開にしました, 内部システムからの非ユーザーデータ.
品質に基づいて、彼の最初のバグレポートの料金を支払いました, 彼はそれを最初に報告したわけではありませんが, しかし、彼が差し控えたその後の情報にはお金を払わなかった. 彼が調査結果を公開できなかったとは決して言いませんでした—私たちは彼が私たちのプログラムガイドラインに違反してアクセスした非公開情報を開示することを控えるように求めました. 私たちは、質の高い研究にお金を払い、コミュニティが研究者から学ぶのを支援することに引き続きしっかりと取り組んでいます’ ハードワーク.

そう, あなたはどちら側にいますか?