Hackear Facebook a través de la vulnerabilidad día cero de SSRF

Facebook es la red social más utilizada del mundo, lo que también la convierte en un objetivo frecuente de ataques. Un especialista en seguridad de aplicaciones originario de India descubrió y reportó múltiples fallas en la plataforma y en un portal de inteligencia de negocios de terceros; gracias a su reporte, el investigador recibió una recompensa de 31 mil dólares.   

Bipin Jitiya publicó su investigación en Medium hace un par de días, en la que menciona que el error fue descubierto combinando revisiones de código seguro, enumeración y amplios conocimientos de secuencias de comandos.

El investigador, especializado en desarrollo de aplicaciones y pentesting, encontró una falla falsificación de solicitudes del lado del servidor (SSRF) en el código fuente de un endpoint de acceso público construido con herramientas de MicroStrategy, que realizó una recopilación de datos personalizada y generación de contenido. Acorde a expertos en seguridad de aplicaciones, MicroStrategy ha actuado como socio de Facebook en diversos proyectos de análisis de datos. 

Además, Jitiya encontró otra vulnerabilidad SSRF en el código del kit de desarrollo de software (SDK) de MicroStrategy que podría ser explotada por actores de amenazas para enviar solicitudes GET a sistemas internos y externos. “Esta vulnerabilidad tiene un impacto de gravedad media en el sistema afectado”, afirma el investigador.   

No obstante, el impacto de esta vulnerabilidad aumenta considerablemente si se encadena a una filtración de datos. El investigador descubrió que una herramienta para acortar URLs empleada por los empleados de Facebook y algunos usuarios externos podría filtrar información confidencial sobre el servidor.

Entre los datos expuestos por esta falla podría encontrarse información sobre la ruta interna a la carpeta de registros, consultas del sistema, direcciones IP internas, nombres de usuario internos, datos relacionados con la configuración del sistema, entre otros: “Explotando esta falla, los hackers maliciosos podrían enumerar las URLs internas válidas en el sistema”. Los expertos en seguridad de aplicaciones mencionan que las fallas podrían usar estas fallas para realizar ataques de escalada de directorios y SSRF.

“Los atacantes podrían encontrar una URL interna usada para actualizar o eliminar archivos del servidor y usarla con fines maliciosos”, añadió Jitiya en declaraciones para una plataforma especializada. El investigador concluyó mencionando que también existe la posibilidad de eliminar cualquier archivo confidencial o incluso eliminar archivos de controlador, como login.php, profile.php, entre otros. 

Aunque al inicio Facebook se negó a reconocer el reporte debido a la ausencia de una prueba de concepto, Jitiya finalmente recibió la recompensa. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, los expertos en concientización de ciberseguridad recomiendan ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.