image

Onderzoeker krijgt via beveiligingslek toegang tot interne netwerk Facebook

dinsdag 23 maart 2021, 12:13 door Redactie, 4 reacties

Een beveiligingsonderzoeker is door het combineren van verschillende kwetsbaarheden erin geslaagd toegang te krijgen tot het interne netwerk van Facebook. Het socialmediabedrijf heeft de problemen inmiddels verholpen en onderzoeker Alaa Abdulridha voor zijn bugmelding met een beloning van 47.300 dollar beloond.

Abdulridha had eerder al een kwetsbaarheid in een interne applicatie van Facebook gevonden waardoor hij toegang tot de applicatie en het beheerderspaneel wist te krijgen. Deze applicatie wordt binnen Facebook door de juridische afdeling gebruikt. Facebook verhielp dit probleem. Voor zijn tweede aanval richtte de onderzoeker zich opnieuw op deze applicatie.

Dit keer gebruikte hij echter een andere manier om toegang te krijgen waarbij hij een ASPXAUTH-cookie manipuleerde. Deze cookies worden gebruikt om te bepalen of de gebruiker is geauthenticeerd. Abdulridha vond een andere website die dezelfde applicatie gebruikte. Hij registreerde daar een account met dezelfde gebruikersnaam als de beheerder van de applicatie die Facebook gebruikt.

Hij onderschepte vervolgens het request naar de applicatie op de andere website en verving het ASPXAUTH-cookie met het verlopen ASPXAUTH-cookie van de Facebook-applicatie. Hiermee kreeg hij opnieuw toegang tot het beheerderspaneel van de Facebook-applicatie. "Ik kon op elk beheerdersaccount inloggen door alleen de gebruikersnaam te weten", aldus de onderzoeker.

Voor het tweede deel van de aanval gebruikte Abdulridha een SSRF-kwetsbaarheid. Server-side request forgery (SSRF) is een kwetsbaarheid waarbij een aanvaller de functionaliteit van een server kan misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. In dit geval bleek de Facebook-applicatie kwetsbaar voor SSRF waardoor de onderzoeker toegang tot het interne netwerk van Facebook wist te krijgen.

Abdulridha rapporteerde de problemen op 9 september. Op 26 oktober vroeg het socialmediabedrijf een nieuwe melding te openen waarna er dezelfde dag mitigaties werden doorgevoerd. Op 25 februari van dit jaar kwam Facebook met een volledige oplossing en beloonde de onderzoeker voor zijn bugmelding.

Afsluitend heeft de onderzoeker ook nog een 'gouden tip' voor bug hunters. "Wanneer je ASPXAUTH ziet probeer dan de cookies van een andere website te bemachtigen die dezelfde applicatie gebruikt en test dezelfde methode die ik toepaste: Creëer nieuwe ASPXAUTH-cookies aan de hand van de andere website en test of deze cookies bij de aangevallen website werken."

Reacties (4)
23-03-2021, 12:16 door Anoniem
wanneer voorspellen jullie dat het gedaan is met Facebook? Hyves CU2 myspace allemaal verdwenen maar Facebook bestaat nog na zoveel scandalen
23-03-2021, 15:35 door Anoniem
Door Anoniem: wanneer voorspellen jullie dat het gedaan is met Facebook? Hyves CU2 myspace allemaal verdwenen maar Facebook bestaat nog na zoveel scandalen

Onkruid vergaat niet.
23-03-2021, 17:16 door Anoniem
Had die onderzoeker niet meteen format /q /u /r kunnen doen? Flinke opruiming van date Fakebook...
24-03-2021, 07:34 door Anoniem
Veel overheidsinstanties delegeren ICT taken aan commerciële bedrijven omdat zij zelf voor de uitvoering daar de kennis niet voor in huis hebben. Deze derden verkopen deze taken dan weer aan cyberonderaannemers waarbij het volkomen oncontroleerbaar wordt hoe de dataveiligheid in protocollen is geregeld, wie wat controleert en verantwoordelijk is voor de bescherming van de persoonsgegevens. Dit is oa aan de orde bij het delegeren van administratie van de WOZ heffingen van een omgevingsdienst naar een commercieel administratiebedrijf dat dit ook weer door zou kunnen delegeren waarbij alle betrokken persoonsgegevens soms drie keer van ondernemer wisselen. Mijn zorg is dus dat het daardoor niet meer controleerbaar is wie er verantwoordelijk is voor de beveiliging van de persoonsgegevens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.