Een onderzoeker, Daniel Le Gall, heeft een ernstige kwetsbaarheid ontdekt in een van de servers van Facebook. De onderzoeker vond een Sentry dienst gehost op 199.201.65.36 met de hostname sentryagreements.thefacebook.com, tijdens het scannen van een IP-bereik dat behoort tot Facebook -199.201.65.0/24.
Uitvoering van externe code op een Facebook-server: Technische Details
Wat is Sentry? Het is een log verzameling web applicatie die op Python is geschreven met het Django framework.
De onderzoeker verklaarde dat, terwijl hij keek naar de Sentry app, sommige stracktraces regelmatig dook op de pagina voor geen bijzondere reden.
De applicatie leek instabiel te zijn met betrekking tot de gebruiker password reset-functie, occasioneel gecrasht, hij voegde toe, opmerkend dat Django debug mode niet was uitgeschakeld, die bijgevolg drukt de gehele omgeving bij een stacktrace voordoet.
Echter, Django knipt kritische informatie (wachtwoorden, geheimen, sleutel…) in die stacktrace, zodat voorkomen een enorme informatie lekken.
De onderzoeker besloten om de loep, en realiseerde zich dat hij kon herkennen session cookie namen, verschillende opties, alsmede serializer bekend als het zuur. Simpel gezegd, Augurk is een binair protocol (een)serialiseren Python objectstructuren, zoals klassen en methoden in hen.
Als we in staat waren om onze eigen sessie die willekeurige augurk inhoud bevat smeden, we konden commando's uitvoeren op het systeem,”Daniel bekend.
Niettemin, de SECRET_KEY gebruikt door Django voor signeersessie cookies is niet beschikbaar in de stacktrace. Bovendien, de SENTRY_OPTIONS lijst bevat een sleutel met de naam system.secret-key, dat is niet afgeknipt. Volgens de Sentry documentatie, system.secret-key is “een geheime sleutel voor sessie ondertekening. Als dit wordt aangetast is het belangrijk om het zo anders zijn veel gemakkelijker te kapen gebruikerssessies regenereren. “
Zoals de onderzoeker erop gewezen, het lijkt erop dat de situatie “een soort van Django geheime sleutel override".
Met behulp van al deze informatie, Daniel was in staat een script dat kwaadaardige cookies smeedt met behulp van willekeurige Pickle content te creëren. Deze laatste bevatte een lading het Sentry koekje overschrijven. Deze cookie werd later overschreven met een willekeurig object. Om dit beveiligingslek te testen, de onderzoeker uitgevoerd 30 seconden vertraging veroorzaakt geen echte schade voorkomen. Zijn poging succesvol was.
Een aanvaller kan het beveiligingsprobleem hebben misbruikt op afstand kapen het systeem om gegevens te stelen van de Facebook-server of het uitvoeren van andere schadelijke activiteiten. Het moet echter worden benadrukt, dat geen gebruikersgegevens bevond zich in de server, onderwereld werd blootgesteld als gevolg van deze fout.
Daniel meldde zijn ontdekking naar Facebook on July 30, 2018, met het bedrijf snel de bug te erkennen door het invoeren van de server. Een patch werd uitgegeven op augustus 9, en de onderzoeker werd bekroond $5,000 voor het melden van de fout.
Vorig jaar, een security-onderzoeker, Andrew Leonov, Werd beloond $40,000 namens Facebook voor overtredingen van de sociale netwerk en bevestigen van een externe code beveiligingslek die reeds werd ontdekt en in vaste 2016. Blijkbaar, de kwetsbaarheid nodig opnieuw worden aangepakt. De fout was nog steeds invloed op de website.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: