Исследователь взломал Facebook и обнаружил бэкдор для сбора учетных записей сотрудников соцсети

Исследователь безопасности компании DevCore Оранж Цай (Orange Tsai) взломал один из серверов Facebook и обнаружил бэкдор для сбора учетных записей сотрудников соцсети, оставленный неизвестным злоумышленником. Эксперт обнаружил проблему в ходе поиска ошибок на серверах популярного социального сервиса, желая поучаствовать в программе финансового вознаграждения за найденные уязвимости, запущенной компанией.

Используя технику reverse whois, Цай обнаружил интересный домен tfbnw.net и предположил, что имеет дело с The Facebook Network. На домене располагался поддомен vpn.tfbnw.net, исследование которого показало наличие ряда интересных серверов, в частности files.fb.com. Данный домен используется сотрудниками соцсети как хостинг для файлов и работает под управлением Accellion Secure File Transfer (FTA). Идентифицировав ПО и его версию, исследователь обнаружил 7 ошибок: 3 XSS-уязвимости, 2 уязвимости, приводящие к локальному повышению привилегий, проблему с секретным ключом, позволяющую удаленное выполнение кода, и Pre-Auth SQL-инъекцию, также позволяющую удаленно выполнить произвольный код. Эксплуатация последней позволила специалисту получить доступ к серверу и получить над ним контроль.

В ходе дальнейшего исследования Цай заметил несколько странных сообщений об ошибках в логах /var/opt/apache/php_error_log. Изучив сообщения, эксперт обнаружил непонятную web-оболочку, оставленную предыдущим «посетителем». Как выяснилось, бэкдор использовался для перехвата учетных данных сотрудников Facebook и сохранения логинов и паролей в локальный файл.

В include_once одного из файлов содержался вызов sclient_user_class_standard.inc.orig, используемый для проверки пароля. Как отмечает исследователь, модифицированный файл служил в качестве прокси для сбора GET- и POST-запросов, а также значения COOKIE.

В период с 1 по 7 февраля 2016 года было перехвачено порядка 300 учетных записей пользователей @fb.com и @facebook.com. Как показал анализ логов, злоумышленник дважды проникал в систему – и июле и середине сентября 2015 года. Цай сообщил об обнаруженной проблеме в службу технической поддержки Facebook. В качестве вознаграждения за проделанную работу специалист получил премию в размере $10 тыс.