В конце прошлого месяца Арун Сурешкумар (Arun Sureshkumar) уведомил Facebook об уязвимости в Business Manager, позволяющей захватить контроль над любой страницей социальной сети. Компания пропатчила брешь в сжатые сроки и выплатила индийскому исследователю $16 тыс. в рамках программы Bug Bounty.

Техническое описание данной уязвимости вместе с PoC-эксплойтом Сурешкумар представил в своем блоге в минувшую пятницу. Учащийся технического колледжа в Куттиппураме собирается рассказать о своей находке на ИБ-конференции 0SecCon, которая пройдет в Индии в конце сентября.

Уязвимость в бесплатном инструменте Business Manager относится к виду insecure direct object reference (небезопасные прямые ссылки на объекты, IDOR); она возникла из-за некорректности обработки запросов, генерируемых бизнес-аккаунтами. Наличие бреши позволило Сурешкумару обойти авторизацию и получить доступ к ресурсам (записям в базе данных) путем подмены параметров в запросе, а точнее, идентификаторов ресурса.

По словам индийца, для PoC-эксплойта ему потребовались лишь два номера бизнес-аккаунта. Он перехватил запрос, подменил уникальный идентификатор страницы и повторил отправку запроса. Впоследствии Сурешкумар попросту присвоил себе статус редактора страницы, чтобы иметь полный доступ. И такую атаку, по его утверждению, можно провести против любых страниц Facebook, даже тех, которые принадлежат широко известным личностям вроде Билла Гейтса или Барака Обамы. Полный доступ к странице позволяет выполнять разные действия, вплоть до ее удаления.

Facebook пару дней решала, в каком объеме вознаградить исследователя, и наконец остановила выбор на солидной сумме — $16 тыс. “Большая часть этой суммы — это оценка достоинств эксплойта, позволяющего осуществить захват страницы, однако, изучая ваш отчет, мы обнаружили и устранили еще одну проблему, поэтому размер награды был несколько увеличен” — таково, со слов Сурешкумара, было обоснование решения Facebook, присланного ему по электронной почте.

IDOR — не единственная находка индийского охотника за багами на Facebook. Его имя третий год подряд появляется в списке белых хакеров, которым соцсеть благодарна за ответственное раскрытие информации. В минувшем апреле Сурешкумар нашел на Facebook еще один баг, позволяющий получить полный доступ к аккаунту. Причиной этой уязвимости, за которую индиец получил $10 тыс., являлось отсутствие принудительного снижения скорости передачи пакетов. Обычно этот метод применяется для ограничения входящего/исходящего трафика на сайтах. Сурешкумар обнаружил, что, используя опцию восстановления забытого пароля на Facebook, он может захватить контроль над аккаунтом и просматривать сообщения, фото и прочие сохраненные данные, идентифицирующие владельца.

Категории: Уязвимости