Onderzoeker krijgt via beveiligingslek toegang tot interne netwerk Facebook

[Captain Kirk]

Een beveiligingsonderzoeker is door het combineren van verschillende kwetsbaarheden erin geslaagd toegang te krijgen tot het interne netwerk van Facebook. Het socialmediabedrijf heeft de problemen inmiddels verholpen en onderzoeker Alaa Abdulridha voor zijn bugmelding met een beloning van 47.300 dollar beloond.

Abdulridha had eerder al een kwetsbaarheid in een interne applicatie van Facebook gevonden waardoor hij toegang tot de applicatie en het beheerderspaneel wist te krijgen. Deze applicatie wordt binnen Facebook door de juridische afdeling gebruikt. Facebook verhielp dit probleem. Voor zijn tweede aanval richtte de onderzoeker zich opnieuw op deze applicatie.

Dit keer gebruikte hij echter een andere manier om toegang te krijgen waarbij hij een ASPXAUTH-cookie manipuleerde. Deze cookies worden gebruikt om te bepalen of de gebruiker is geauthenticeerd. Abdulridha vond een andere website die dezelfde applicatie gebruikte. Hij registreerde daar een account met dezelfde gebruikersnaam als de beheerder van de applicatie die Facebook gebruikt.

Hij onderschepte vervolgens het request naar de applicatie op de andere website en verving het ASPXAUTH-cookie met het verlopen ASPXAUTH-cookie van de Facebook-applicatie. Hiermee kreeg hij opnieuw toegang tot het beheerderspaneel van de Facebook-applicatie. "Ik kon op elk beheerdersaccount inloggen door alleen de gebruikersnaam te weten", aldus de onderzoeker.

Voor het tweede deel van de aanval gebruikte Abdulridha een SSRF-kwetsbaarheid. Server-side request forgery (SSRF) is een kwetsbaarheid waarbij een aanvaller de functionaliteit van een server kan misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. In dit geval bleek de Facebook-applicatie kwetsbaar voor SSRF waardoor de onderzoeker toegang tot het interne netwerk van Facebook wist te krijgen.

Abdulridha rapporteerde de problemen op 9 september. Op 26 oktober vroeg het socialmediabedrijf een nieuwe melding te openen waarna er dezelfde dag mitigaties werden doorgevoerd. Op 25 februari van dit jaar kwam Facebook met een volledige oplossing en beloonde de onderzoeker voor zijn bugmelding.

Afsluitend heeft de onderzoeker ook nog een 'gouden tip' voor bug hunters. "Wanneer je ASPXAUTH ziet probeer dan de cookies van een andere website te bemachtigen die dezelfde applicatie gebruikt en test dezelfde methode die ik toepaste: Creëer nieuwe ASPXAUTH-cookies aan de hand van de andere website en test of deze cookies bij de aangevallen website werken."

 

bron: https://www.security.nl