A A A

Krytyczna wada na serwerze Facebooka usunięta

10 września 2018, 08:00
Krytyczna luka, umożliwiająca zdalne wykonanie kodu na serwerze Facebooka, została niedawno załatana po tym, jak analityk bezpieczeństwa Daniel „Blaklis” Le Gall zgłosił ją, przedstawiając proof-of-concept (PoC).
Krytyczna wada na serwerze Facebooka usunięta

Luka została wykryta w niestabilnej usłudze Sentry (aplikacja wieloplatformowa, która może gromadzić logi i debugować aplikacje napisane w języku Python), która napisana jest w Pythonie z wykorzystaniem biblioteki Django. Sporadyczne awarie aplikacji ujawniły, że w Django nie został wyłączony tryb debugowania, w następstwie czego ślad stosu zwracał informacje o nazwach plików cookie sesji, opcjach i używanym serializatorze (Pickle).

Mimo że klucz tajny, używany przez Django do podpisywania plików cookie sesji, nie był dostępny w śladzie stosu, analitykowi udało się znaleźć listę opcji, która ujawniła nieskasowany systemowy tajny klucz.

„Jednakże lista SENTRY_OPTIONS zawiera klucz o nazwie system.secret-key, który nie jest kasowany" - napisał Le Gall. „Cytując dokumentację Sentry, system.secret-key jest kluczem tajnym używanym do podpisywania sesji. Jeśli zostanie on zagrożony, ważne jest, aby został odnowiony, ponieważ w przeciwnym razie można znacznie łatwiej przejąć sesje użytkownika; O, wygląda na to, że jest to coś w rodzaju nadpisywania KLUCZA TAJNEGO Django!".

Zatem analityk był w stanie sfałszować własne ciasteczka i zastąpić nimi ciasteczka Sentry, w zasadzie uruchamiając dowolny kod na serwerze. Aby wykazać poprawność koncepcji, wprowadzone zostało 30-sekundowe opóźnienie ładowania strony.

„Ten kod jest prostym dowodem koncepcji: pobiera treść istniejącego pliku cookie usługi Sentry i zastępuje jego zawartość dowolnym obiektem, który uruchomi polecenie os.system ("sleep 30"), gdy będzie niezserializowany" - napisał Le Gall. „Gdy użyje się tego pliku cookie, rzeczywiście potrzeba dodatkowych 30 sekund do wczytania strony, co potwierdza obecność wady".

Jakkolwiek cyberprzestępcy mogli wykorzystać tę lukę do kradzieży danych, analityk stwierdził, że żadne dane użytkownika nie znajdowały się na serwerze a wykryta luka im nie zagroziła.

„Nie ma systemów w 100% bezpiecznych, możemy jedynie minimalizować prawdopodobieństwo potencjalnych włamań. Zaleca się stosowanie kompleksowych rozwiązań do ochrony przed zagrożeniami, na które składają się: ochrona antywirusowa, ochrona poczty, moduły szyfrowania dysków, zarządzanie aktualizacjami, ochrona przed ransomware i inne" - komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken.

Serwer został wyłączony do czasu wdrożenia poprawki, a analityk bezpieczeństwa zdobył nagrodę w wysokości 5 tys. dolarów.

 


Krzysztof Mocek / Informacja prasowa
krzysztof.mocek@firma.interia.pl
Tagi:
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności


Nie zapomnij o haśle!
21 czerwca 2022
Choć mogą się wydawać mało nowoczesne, hasła to nadal nie tylko jeden z najpopularniejszych sposobów zabezpieczania swoich kont, ale także...


Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto