Onderzoekers van securitybedrijf Devcore hebben toegang tot het intranet van Twitter gekregen omdat het bedrijf een beschikbare beveiligingsupdate voor een ernstig lek in de gebruikte vpn-oplossing niet had geïnstalleerd. Uiteindelijk lukte het de onderzoekers zelfs om de vpn-server van Twitter over te nemen.
De Pulse Secure vpn-oplossing waar Twitter gebruik van maakt laat werknemers op afstand verbinding met het bedrijfsnetwerk maken. Via een kwetsbaarheid in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende. Pulse Secure patchte het lek op 24 april.
De kwetsbaarheid werd ontdekt door onderzoekers Orange Tsai en Meh Chang, die Pulse Secure over het probleem informeerden. Tsai en Chang hadden gezien dat Twitter van de kwetsbare vpn-oplossing gebruikmaakte. Ze gaven Twitter echter de tijd om de patch te installeren, maar een maand na het uitkomen van de update was die nog steeds niet door het bedrijf uitgerold.
Daarop besloten de onderzoekers Twitter via het vpn-lek aan te vallen en kregen zo toegang tot het intranet van het bedrijf. Het doel van Tsai en Chang was echter om willekeurige code op de server uit te voeren. Dit was mogelijk via de wachtwoorden van managers die op de vpn-oplossing hadden ingelogd. De wachtwoorden die de onderzoekers vonden waren echter gesalt en gehasht.
Ze wisten door gebruik te maken van Amazon Web Services een wachtwoordhash uiteindelijk te kraken. "Ik denk dat we mazzel hebben gehad. Voor zover wij kunnen zien geldt er een sterk wachtwoordbeleid voor Twitterpersoneel. Maar het lijkt dat dit beleid niet voor de manager geldt. Het wachtwoord van de manager bestaat uit slechts tien karakters en het eerste karakter is een B", aldus Tsai. De wachtwoordhash kon in drie uur worden gekraakt, waarna remote code execution mogelijk was.
De onderzoekers waarschuwden Twitter, waarna ze de hoogste bug bounty van 20.000 dollar van Twitter ontvingen. "Hoewel we het niet kunnen bewijzen, lijkt dit de eerste remote code execution op Twitter te zijn geweest", stelt Tsai. In een analyse van het beveiligingslek laat de onderzoeker verder zien hoe vpn-clients die met de gecompromitteerde vpn-server verbinding maakten konden worden overgenomen. Gisteren werd bekend dat ook in Nederland nog tientallen bedrijven de update niet hebben geïnstalleerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.