Ein Forscher, Daniel Le Gall, hat eine ernsthafte Sicherheitslücke in einem der Facebook-Server entdeckt. Die Forscher fanden eine Sentry gehosteten Dienst auf 199.201.65.36 mit dem Hostnamen sentryagreements.thefacebook.com, während des Scannens einen IP-Bereich, die auf Facebook gehört -199.201.65.0/24.
Remotecodeausführung auf einem Facebook-Server: Technische Daten
Was ist Sentry? Es ist eine Log-Sammlung Web-Anwendung, die in Python mit dem Django Framework geschrieben.
Der Forscher erklärt auch, dass, während er auf die Sentry App gesucht, einige stracktraces auf der Seite ohne besonderen Grund regelmäßig aufgetaucht.
Die Anwendung schien, instabil zu sein in Bezug auf die Benutzer-Passwort-Reset-Funktion, die abgestürzt gelegentlich, er fügte hinzu, stellt fest, dass Django Debug-Modus nicht ausgeschaltet wurde, die folglich druckt die gesamte Umgebung, wenn ein stacktrace auftritt.
Jedoch, Django snips kritische Informationen (Passwörter, Geheimnisse, Schlüssel…) in diesem stacktraces, daher ein massives Informationsleck zu vermeiden.
Die Forscher entschieden näher zu betrachten, und erkannte, konnte er Session-Cookie Namen beschmutzen, Verschiedene Optionen, sowie Serializer bekannt als Pickle. Einfach gesagt, Pickle ist ein binäres Protokoll für (ein)Serialisierung Python Objektstrukturen, wie Klassen und Methoden in ihnen.
Wenn wir konnten unsere eigene Sitzung schmieden, die willkürlich Gurke Inhalt enthält, wir könnten Befehle auf dem System ausführen,“Daniel bekannt.
Dennoch, die secret_key, die von Django für Session-Cookies Wenn Sie sich in der Stacktrace nicht verfügbar. Weiter, die SENTRY_OPTIONS Liste enthält einen Schlüssel mit dem Namen system.secret-key, das ist nicht snipped. Nach Angaben der Sentry Dokumentation, system.secret-Schlüssel ist „ein geheimer Schlüssel für die Sitzungs Signierung. Wenn dies beeinträchtigt wird, es ist wichtig, sie zu regenerieren, da sonst seine viel einfacher zu Benutzersitzungen kapern. „
Wie die Forscher darauf hingewiesen,, es sieht aus wie, dass die Situation „eine Art von Django SECRET-KEY Überschreibung".
Mit all diesen Informationen, Daniel konnte erstellen ein Skript, das schädliche Cookies mit beliebigem Pickle Inhalt schmiedet. Dieser enthielt eine Nutzlast der Sentry Cookie zu überschreiben. Dieses Cookie wurde später mit einem beliebigen Objekt außer Kraft gesetzt. Um zu testen, diese Sicherheitsanfälligkeit, die Forscher implementiert, um eine 30-Sekunden-Zeitverzögerung, die Ursache für einen wirklichen Schaden zu vermeiden. Sein Versuch war erfolgreich.
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, um das System remote kapern Daten aus dem Facebook-Server oder führen andere bösartige Aktivitäten zu stehlen. Es sollte jedoch betont werden,, dass keine Benutzerdaten in dem Server, nether wurde es aufgrund dieser Fehler ausgesetzt.
Daniel berichtet seine Entdeckung zu Facebook im Juli 30, 2018, mit der Unternehmen den Fehler schnell Anerkennung von unten unter den Server. Ein Patch wurde am August ausgestellt 9, und der Forscher wurde ausgezeichnet $5,000 für den Fehler berichten.
Letztes Jahr, ein Sicherheitsforscher, Andrew Leonov, wurde verliehen $40,000 im Namen von Facebook für das soziale Netzwerk durchbrechen und eine Remotecodeausführung ermöglichen Befestigungs die bereits entdeckt und behoben in 2016. Offenbar, die Verwundbarkeit benötigt einmal werden wieder angesprochen. Der Fehler wurde Auswirkungen nach wie vor auf die Website.