titulo

titulo

O especialista em segurança Orange Tsai descobriu a presença de uma webshell maliciosa em um dos servidores da companhia. O especialista, da empresa DevCore, encontrou durante uma análise da infraestrutura, um domínio chamado files.fb.com, que estava hospedando uma instância do Accellion File Transfer Appliance, que é usado por companhias ou transferência segura de arquivos.

Uma vez acessado o domínio, ele exibia uma interface de login para Transferência de Arquivo de Appliance, e então o especialista decidiu investigar a presença de vulnerabilidade de segurança no software. Ele verificou que o Facebook já corrigiu as falhas conhecidas no software, e então ele decidiu procurar por novas falhas de segurança no appliance. Tsai descobriu um número total de 7 falhas zero day (desconhecidas), incluindo XSS, execução remota de código, e escalonamento local de privilégios.

Ele explorou uma falha de pre autenticação de SQL Injection para enviar uma webshell ao servidor do Facebook e tomar o controle. A partir desse ponto, ele reparou algo incomum: alguém se antecipou a ele ao enviar a webshell ao servidor. O especialista descreve, em no blog da empresa: “Durante a coleta de detalhes da vulnerabilidade e de evidências para reporte ao Facebook, eu encontrei algo incomum no log de web. Em primeiro lugar, eu encontrei uma mensagem estranha de erro PHP em “/var/opt/apache/php_erro_log”. Essas mensagens parecem ter sido causadas por modificação de código online. Eu segui os paths PHP nas mensagens de erro e acabei encontrando uma webshell de arquivos suspeita deixada por visitantes anteriores”, informa o site securityaffairs.co.

O site securityaffairs.co ainda informa que o especialista ainda tentou coletar dados relacionados com a suposta invasão e descobriu que o autor da invasão tentou coletar credenciais de login dos funcionários da empresa, que usaram o Accellion File Transfer Appliance. O especialista sustenta que hackers usaram um script que realizou a colheira (harvesting) de pelo menos 300 credenciais @fb.com e @facebook.com no perído de tempo que compreende de 1 a 7 de Fevereiro de 2016. Ao analisar os logs ele também descobriu que o atacante ganhou acesso em duas ocasiões ao sistema, a primeira vez foi em Julho de 2015 e posteriomente em Setembro de 2015.

O acesso não autorizado em Julho ocorreu dias antes do Rapid7 revelar duas vulnerabilidades no Accellion File Transfer Appliance. Não há evidências de que as intrusões foram realizadas pelo mesmo hacker ou como o sistema foi invadido e a webshell foi enviada ao servidor. Tsai reporta que o Facebook admitiu a existência da webshell e o recompensou com $10,000 pela descoberta. Ele também relatou as vulnerabilidades na plataforma Accelion a companhia.

fonte:

http://securityaffairs.co/wordpress/46578/hacking/facebook-hacked.html
http://thekooza.com/wp-content/uploads/2014/02/facebook-logo-hacked-250×176.jpg

http://devco.re/blog/2016/04/21/how-I-hacked-facebook-and-found-someones-backdoor-script-eng-ver/