Facebook hackeado! El experto en seguridad de Orange Tsai descubrió la presencia de un WebShell malicioso en uno de los servidores de la compañía.
Facebook Hackeado ! El experto en seguridad de Orange Tsai de la firma DevCore había encontrado una Shell web maliciosa en un servidor de Facebook. El investigador estaba analizando la infraestructura del Facebook en cuanto observo un dominio llamado files.fb.com. quedo Intrigado, el experto había tratado de acceder al dominio y de descubrir que se estaba hospedando en una instancia del appliance Accellion usado para transferencia de archivos. Accellion.- es utilizado por empresas para transferencias de archivos seguras.
Una vez accedido al dominio se mostró una interfaz de inicio de sesión para el dispositivo de transferencia de archivos a continuación, decidió investigar la presencia de vulnerabilidades de seguridad en el software.
Verificó que Facebook ya había reparado el conocido fallo en el software, entonces decidió buscar nuevos problemas de seguridad en el appliance Accellion. Es así como Tsai descubrió un total de 7 fallos de seguridad de día cero ( 0 Day ), incluyendo cross-site scripting, la ejecución remota de código arbitrario y la vulnerabilidad de elevación de privilegios locales esto es aun mas crítico para Facebook por el nivel de control que tenían sobre el servidor.
Tsaí Explotó una falla pre-auth de inyección SQL para cargar una WebShell al servidor de Facebook y ganar su control. En este punto, se dio cuenta de algo muy extraño, alguien le había anticipado la subida de un WebShell al servidor.
“Mientras él recogía datos de vulnerabilidad y evidencias para informar a Facebook, él había encontrado también algunas cosas extrañas en registro de Logs . En primer lugar encontró un extraño mensaje de error PHP “/var/opt/apache/php_error_log” ” Estos mensajes de error parecían estar causados por la modificación de los códigos en línea? ”Escribió Tsai. “He seguido los caminos de PHP en mensajes de error y terminó con el descubrimiento de los archivos WEBSHELL sospechosos dejados anteriormente por otros visitantes”.
En este punto, trató de recoger más datos relacionados con la supuesta intromisión y descubrió que el actor de la amenaza trató de recoger las credenciales de acceso de empleados de la compañía que utilizaron el Accellion que es el Appliance de transferencia de archivos seguros.
El experto sostiene que los hackers mailciosos utilizaron un Script que había cosechado al menos 300 credenciales de @facebook.com y @fb.com en el período de tiempo comprendido entre el 1 de febrero y el 7 de febrero.
Mediante el análisis de los registros de los Logs Tsai también descubrió que estos agentes de amenaza obtuvieron acceso en dos ocasiones al sistema, la primera vez en julio de 2015 y más tarde, en septiembre de 2015.
El acceso NO autorizado se produjo en julio a pocos días antes de que la empresa Rapid7 de a conocer dos vulnerabilidades en el Appliance Accellion de transferencia de archivos seguros. Esta coincidencia genera cierta extrañeza.
Por supuesto, no hay ninguna evidencia de que los ataques de intrusión fueron llevados a cabo por el mismo hacker y cómo los atacantes violaron los sistemas que implementan la WebShell maliciosa.
Tsai informó de sus descubrimientos a Facebook quienes admitían la existencia de la WebShell y lo premiaron con sólo $ 10.000. Él también informó de las fallas descubiertas en la plataforma Accellion a la compañia.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad