Facebook Hackeado ! Alguien puso un Backdoor Script en un servidor de Facebook

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Facebook hackeado! El experto en seguridad de Orange Tsai descubrió la presencia de un WebShell malicioso en uno de los servidores de la compañía.

Facebook Hackeado ! El experto en seguridad de Orange Tsai de la firma DevCore había encontrado una Shell web maliciosa en un servidor de Facebook. El investigador estaba analizando la infraestructura del Facebook en cuanto observo un dominio llamado files.fb.com. quedo Intrigado,  el experto había tratado de acceder al dominio y de descubrir que se estaba hospedando en una instancia del appliance Accellion usado para transferencia de archivos.  Accellion.- es utilizado por empresas para transferencias de archivos seguras.

Una vez  accedido al dominio se mostró una interfaz de inicio de sesión para el dispositivo de transferencia de archivos a continuación, decidió investigar la presencia de vulnerabilidades de seguridad en el software.

Verificó que Facebook ya había  reparado el conocido fallo en el software,  entonces decidió buscar nuevos problemas de seguridad en el appliance Accellion. Es así como Tsai descubrió un total de 7 fallos de seguridad de día cero ( 0 Day ),  incluyendo cross-site scripting,  la ejecución remota de código arbitrario y la vulnerabilidad de elevación de privilegios locales esto es aun mas crítico para Facebook por el nivel de control que tenían sobre el servidor.

Facebook hackeado

Tsaí Explotó una falla pre-auth de inyección SQL para cargar una WebShell al servidor de Facebook y ganar su control. En este punto, se dio cuenta de algo muy extraño, alguien le había anticipado la subida de un WebShell al servidor.

“Mientras él recogía datos de vulnerabilidad y evidencias para informar a Facebook, él había encontrado también algunas cosas extrañas en registro de Logs .  En primer lugar encontró un extraño mensaje de error  PHP “/var/opt/apache/php_error_log ” Estos mensajes de error parecían estar causados por la modificación de los códigos en línea? ”Escribió Tsai. “He seguido los caminos de PHP en mensajes de error y terminó con el descubrimiento de los archivos WEBSHELL sospechosos dejados anteriormente por otros visitantes”.

facebook hacked 2

En este punto, trató de recoger más datos relacionados con la supuesta intromisión y descubrió que el actor de la amenaza trató de recoger las credenciales de acceso de empleados de la compañía que utilizaron el Accellion  que es el Appliance de transferencia de archivos seguros.

El experto sostiene que los hackers mailciosos utilizaron un Script que había cosechado al menos 300 credenciales de  @facebook.com y  @fb.com en el período de tiempo comprendido entre el 1 de febrero y el 7 de febrero.

Mediante el análisis de los registros de los Logs  Tsai también descubrió que estos agentes de amenaza obtuvieron acceso en dos ocasiones al sistema, la primera vez en julio de 2015 y más tarde, en septiembre de 2015.

El acceso NO autorizado  se produjo en julio a pocos días antes de que la empresa  Rapid7 de a conocer dos vulnerabilidades en el Appliance Accellion de transferencia de archivos seguros.  Esta coincidencia genera cierta extrañeza.

Por supuesto, no hay ninguna evidencia de que los ataques de intrusión fueron llevados a cabo por el mismo hacker y cómo los atacantes violaron los sistemas que implementan la WebShell maliciosa.

Tsai informó de sus descubrimientos a Facebook quienes  admitían la existencia de la WebShell y lo premiaron con sólo  $ 10.000.  Él también informó de las fallas descubiertas en la plataforma Accellion a la compañia.

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone