Исследователь Facebook случайно обнаружил проникновение хакера на сервер соцсети

Сотрудник компании DevCore Оранж Цай c февраля искал уязвимости в Facebook, чтобы принять участие в программе компании bug bounty(«охота на баги»), и случайно обнаружил бэкдор неизвестного злоумышленника, который собирал учетные данные сотрудников Facebook, передает Devco.

Используя reverse whois, Цай сумел обнаружить домен files.fb.com, который используется сотрудниками социальной сети как хостинг для файлов и работает под управлением Accellion Secure File Transfer (FTA). Идентифицировав программное обеспечение и его версию, Цай обнаружил целый букет проблем: 3XSS уязвимости, 2 бага допускающие локальное повышение привилегий, давно известную проблему с секретным ключом, которая может привести к удаленному исполнению кода, и pre-auth SQL-инъекцию, которая тоже позволяла удаленно выполнить произвольный код.

Последним багом в FTA Цай воспользовался сам и, осуществив инъекцию, получил доступ к серверу Facebook и полным контролем над машиной. Цай выявил проблему,и принялся собирать данные для отправки отчета в Facebook, но просматривая логи сервера, он заметил, что в логе /var/opt/apache/php_error_log присутствуют странные сообщения об ошибках. Отследив причину этих ошибок, Цай обнаружил непонятный webshell, который явно был загружен на сервер не сотрудниками Facebook. Просмотрев его исходный код, Цай понял, что кто-то перехватывает учетные данные сотрудников компании, а затем сохраняет логины и пароли в локальный файл. В include_once фигурировал sclient_user_class_standard.inc.orig, который используется PHP для верификации пароля. Цай пишет, что неизвестный хакер, по сути, внедрил в процесс прокси для перехвата GET, POST, COOKIE значений и запросов. Понимая, что в систему проник хакер, Цай изучил логи более внимательно, и сумел установить, что злоумышленник неоднократно возвращался на сервер, чтобы забрать собранные данные, изучить получше локальную сеть и даже попытался похитить приватный ключ SSL. Пики его активности пришлись на июль и середину сентября 2015 года.

Всю собранную информацию Цай передал в службу безопасности Facebook, уведомив компанию о происходящем. Исследователь сообщает, что теперь социальная сеть проводит собственное расследование инцидента. Социальная сеть премировала бдительного компьютерщика 10 000 долларов.