Facebook uitvoering van externe code bug netten onderzoeker $ 33.500

Facebook heeft uitbetaald zijn grootste fout ooit bounty van $ 33.500 naar een security-onderzoeker, die zou kunnen volledige controle over een server binnen haar netwerk hebben genomen.

Sinds 2012, heeft de Braziliaanse computer engineer Reginaldo Silva al speelde met kwetsbaarheden in OpenID, de open technologie die gebruikers in staat stelt om een ​​account te gebruiken met een bestaande identity provider aan te melden bij andere compatibele diensten. Zo kan een gebruiker vertrouwen Symantec Personal Identity Portal om een ​​OpenID account aan te maken, gebruik dan dat één account aan te melden bij WordPress.

Indien gebruikers hun wachtwoorden vergeten, kunnen zich bij een OpenID provider om de identiteit van de gebruiker te controleren. Als onderdeel van het communicatieproces, communiceert Facebook bij de aanbieder, het ontvangen van een XML-document en ontleden om te controleren of het inderdaad de juiste provider.

Hoewel dit betekent dat Facebook niet kan worden misleid in het gebruik van een nep-provider, de loutere daad van het ontleden van de XML reactie van een nep-provider opent het aan te vallen als gevolg van een bekende XML externe entiteit verwerking kwetsbaarheid. Deze kwetsbaarheid kan een aanvaller een URI die moet worden opgeslagen in een systeem identifier, en dan roepen dat identifier om gegevens op te halen. De XML-processor kan in de meeste gevallen, de instructie voor het laden van externe entiteiten schakelen.

De mogelijkheid om een ​​URI opgeven betekent dat de server van Facebook de behandeling van de OpenID verzoek kunnen gedwongen worden om willekeurige netwerkverbindingen, die reeds een aanvaller maakt het mogelijk om Facebook bandbreedte misbruiken voor denial of service-aanvallen te maken, maar wat nog belangrijker is, is het mogelijk te lezen toegang tot de lokale bestandssysteem.

Profiteren van deze, Silva was in staat om toegang te krijgen tot / etc / passwd het dossier van de server, die een lijst van alle gebruikersaccounts en de locatie van hun persoonlijke mappen bevat.

Op dit punt, Silva meldde de bug op Facebook alvorens met alle pogingen om zijn privileges escaleren.

“Sinds ik wilde niet de verkeerde indruk veroorzaken, besloot ik dat ik zou de bug meteen te melden, toestemming vragen om te proberen om het te escaleren tot een [uitvoering van externe code] en dan werken op het terwijl het vast was,” Silva schreef op zijn blog.

Veiligheid; FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; beveiliging; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber -emergency reactie van de overheid waakhond

Gezien de ernst van de bug, echter, zet Facebook in plaats van een korte termijn oplossing binnen 3,5 uur. Al snel voor gezorgd dat de XML-processor geen externe entiteiten wordt geladen, en opgelapt andere eindpunt die kwetsbaar zijn voor dezelfde exploit was.

Een controle van Facebook’s logs vastgesteld dat deze exploit niet was gebruikt tegen het sociale netwerk in het verleden.

Helaas, met Facebook reageren op het rapport zo snel, Silva was nooit in staat om een ​​poging tot het uitvoeren van externe code te maken. Echter, in de gesprekken die hij met Facebook’s security team had, besprak hij hoe hij zou zijn gegaan over te doen.

“Ik besloot om de security team vertellen wat ik zou doen om mijn toegang escaleren, en ze vertrouwen om eerlijk te zijn als ze getest om te zien of de aanval had ik in mijn hoofd of niet werkte. Ik ben blij dat ik dat deed,” Silva zei.

Silva heeft niet bekendgemaakt hoe hij het zou hebben gedaan, maar Facebook heeft bevestigd dat het ging om een ​​administratieve functie die het was te wijten aan betreuren. Erkennen dat Silva in staat om de controle van de server te nemen zou zijn geweest, is het de kwetsbaarheid als een uitvoering van externe code bug geclassificeerd.

Facebook heeft beloond Silva met een bounty van $ 33.500. Het kwam tot dit cijfer door het stellen van de groep van bestuurders programma voor hun uitbetaling aanbevelingen en het gemiddelde te nemen.

Silva’s ontdekking van de OpenID bug heeft bredere implicaties voor andere aanbieders gebruik van de technologie. Zijn rapportage van het probleem is Drupal, Google en StackOverflow nodig om hun veiligheid te verbeteren, maar met veel meer organisaties het gebruik van OpenID, Silva gelooft kan er meer in gevaar.

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond