Một chuyên gia bảo mật đã hack được Facebook, nhưng mọi thứ sau đó mới thật đáng sợ

Máy chủ của Facebook đã bị cài backdoor, keylogger và bị xâm nhập không chỉ 1 lần…

Internet là môi trường vô cùng phức tạp với vô số người tốt, kẻ xấu. Vì thế, rất nhiều hãng công nghệ đã không tiếc tiền treo thưởng cho những ai tìm được lỗ hổng bảo mật trong hệ thống của họ. Google đã chi gần 3 triệu USD trong năm 2015 cho chương trình Bug Bounty Program trong khi đó, Facebook – mạng xã hội lớn nhất hành tinh cũng duy trì chính sách tương tự.

Một chuyên gia bảo mật đã phát hiện tới 7 lỗ hổng bảo mật nghiêm trọng trên Facebook, và mọi chuyện không dừng lại ở đó,…


Facebook liệu có bảo mật như bạn nghĩ?

Facebook liệu có bảo mật như bạn nghĩ?

Orange Tsai, chuyên gia công nghệ của DevCore là một hacker “mũ trắng” – người chuyên săn tìm các lỗ hổng cho các công ty lớn để lấy tiền thường. Tháng 2/2016, Tsai đã bắt đầu thử sức với Facebook bằng việc cố gắng xâm nhập ứng dụng chia sẻ tập tin nội bộ của mạng xã hội lớn nhất hành tinh, cụ thể ở đây là domain files.fb.com – dịch vụ transfer, hosting và syncing file chạy trên nền tảng Secure File Transfer (FTA) do Accellion phát triển.


Orange Tsai bắt đầu với việc xâm nhập domain files.fb.com

Orange Tsai bắt đầu với việc xâm nhập domain files.fb.com

Không lâu trước đó, các chuyên gia bảo mật cũng từng phát hiện ra một lỗ hổng trên FTA v0.18 (LINK).Sau khi được Accellion vá lỗi, domain files.fb.com đã nhanh chóng cập nhật lên FTA v0.20.

Thế nhưng, sau khi tìm hiểu sâu vào sourcode (được mã hóa bằng IonCube), Tsai đã tìm ra không chỉ 1 mà tới 7 lỗ hổng bảo mật trên ứng dụng này, bao gồm: 3 lỗ hổng XSS (cross-site scripting), 1 lỗi Pre-auth SQL Injection + Known-Secret-Key cho phép thực thi mã code từ xa và 2 lỗ hổng cho phép leo thang đặc quyền hệ thống (Local Privilege Escalation).


Anh đã phát hiện ra 7 lỗ hổng bao mật, trong có đó lỗ hổng SQL injection cho phép thực thi mã code từ xa

Anh đã phát hiện ra 7 lỗ hổng bao mật, trong có đó lỗ hổng SQL injection cho phép thực thi mã code từ xa

Mọi chuyển trở nên dễ dàng hơn, Tsai tận dụng lỗ hổng SQL injection vừa phát hiện ở trên, truy cập vào máy chủ của Facebook và sau đó chiếm quyền kiểm soát hoàn toàn thiết bị. Cuối cùng, chuyên gia công nghệ này quyết định thông báo tới Facebook để mạng xã hội này sửa lỗi. Tuy nhiên, có 1 thứ còn đáng sợ hơn được Tsai phát hiện.

Máy chủ của Facebook đã bị cài backdoor, keylogger và bị xâm nhập không chỉ 1 lần …

Trong khi nghiên cứu những file log (tập tin chứa tất cả thông tin về các hoạt động trên máy chủ, như thông tin người truy cập, thời gian khách viếng thăm, địa chỉ IP…. hay thông báo lỗi), Tsai phát hiện những thông báo lỗi rất đáng ngờ.

Cụ thể, một webshell bí ẩn đã được “ai đó” cài lên máy chủ hoạt động như một keylogger có nhiệm vụ ghi lại tất cả thông tin đăng nhập của nhân viên Facebook trên domain files.fb.com vào file log trên.


Mọi việc bắt đầu đáng sợ hơn khi Tsai đọc sâu vào file log

Mọi việc bắt đầu “đáng sợ” hơn khi Tsai đọc sâu vào file log


Và phát hiện máy chủ Facebook đã bị cài webshell

Và phát hiện máy chủ Facebook đã bị cài webshell


Keylogger ghi lại username & password của nhân viên Facebook

Keylogger ghi lại username & password của nhân viên Facebook

Sau 1 khoảng thời gian nhất định, hacker lại xâm nhập vào máy chủ Facebook để xóa dấu vết

192.168.54.13 – – 17955 [Sat, 23 Jan 2016 19:04:10 +0000 | 1453575850] “GET /courier/custom_template/1000/bN3dl0Aw.php?c=./sshpass -p ‘********’ ssh -v -o StrictHostKeyChecking=no soggycat@localhost ‘cp /home/seos/courier/B3dKe9sQaa0L.log /home/seos/courier/B3dKe9sQaa0L.log.2; echo > /home/seos/courier/B3dKe9sQaa0L.log’ 2>/dev/stdout HTTP/1.1” 200 2559 …

Lấy thông tin dữ liệu từ file log

cat tmp_list3_2 | while read line; do cp /home/filex2/1000/$line files; done 2>/dev/stdout

tar -czvf files.tar.gz files

Truy cập hệ thống mail nội bộ của Facebook:

–20:38:09– https://mail.thefacebook.com/

Resolving mail.thefacebook.com… 192.168.52.37

Connecting to mail.thefacebook.com|192.168.52.37|:443… connected.

HTTP request sent, awaiting response… 302 Found

Location: https://mail.thefacebook.com/owa/ [following]

–20:38:10– https://mail.thefacebook.com/owa/

Reusing existing connection to mail.thefacebook.com:443.

HTTP request sent, awaiting response… 302 Moved Temporarily

Location: https://mail.thefacebook.com/owa/auth/logon.aspx?url=https://mail.thefacebook.com/owa/&reason=0 [following]

–20:38:10– https://mail.thefacebook.com/owa/auth/logon.aspx?url=https://mail.thefacebook.com/owa/&reason=0

Reusing existing connection to mail.thefacebook.com:443.

HTTP request sent, awaiting response… 200 OK

Length: 8902 (8.7K) [text/html]

Saving to: `STDOUT’

0K …….. 100% 1.17G=0s

20:38:10 (1.17 GB/s) – `-‘ saved [8902/8902]

–20:38:33– (try:15) https://10.8.151.47/

Connecting to 10.8.151.47:443… –20:38:51– https://svn.thefacebook.com/

Resolving svn.thefacebook.com… failed: Name or service not known.

–20:39:03– https://sb-dev.thefacebook.com/

Resolving sb-dev.thefacebook.com… failed: Name or service not known.

failed: Connection timed out.

Retrying.

Nghiêm trọng hơn, hacker này còn cố gắng đánh cắp SSL Key:

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

ls: /etc/opt/apache/ssl.key/server.key: No such file or directory

mv: cannot stat `x’: No such file or directory

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

mv: cannot stat `x’: No such file or directory

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

mv: cannot stat `x’: No such file or directory

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

mv: cannot stat `x’: No such file or directory

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

mv: cannot stat `x’: No such file or directory

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

base64: invalid input


SSL Key xác thực là *.fb.com

SSL Key xác thực là *.fb.com

Tiếp tục điều tra những file log khác trên hệ thống, Tsai đã xác định được cách thức, thời điểm hacker xâm nhập vào hệ thống máy chủ Facebook, vào tháng 7/2015 và 9/2015 để thu thập dữ liệu trên file log, đánh cắp SSL Key cũng như xóa dấu vết. Chuyên gia bảo mật này cũng khẳng định, đứng sau những lần tấn công vào hệ thống trên của Facebook là 1 người (nhóm người) mà thôi.

Sau khi thu thập tất cả thông tin, hình ảnh cùng những file log bị nghi ngờ, Tsai đã ngay lập tức báo cáo với đội bảo mật Facebook. Ngay lập tức, mạng xã hội này đã tiến hành điều tra lỗ hổng bảo mật trên, bên cạnh việc trao thưởng cho chuyên gia này số tiền 10.000 USD (hơn 220 triệu đồng).

Theo GenK

Advertisements

Posted on June 16, 2016, in Tin học and tagged . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: