Индийский исследователь обнаружил уязвимость в приложении «Бизнес-менеджер» для управления групповыми страницами на Facebook. Баг позволяет стороннему приложению осуществить захват администраторских прав и закрыть легитимному администратору доступ к функциям управления страницы. В Facebook признали наличие изъяна и выписали Лаксману Мутияху (Laxman Muthiyah) чек на $2500 в рамках программы Bug Bounty.

По умолчанию интерфейс приложения Facebook for Business из соображений безопасности не позволяет сторонним приложениям добавлять новых администраторов или редактировать права существующих.

При этом есть возможность присваивать различные уровни прав другим членам группы при помощи разрешения доступа manage_pages, запрашиваемого сторонними приложениями. Отправив последовательность определенных запросов, злоумышленник может в конечном итоге присвоить себе права администратора целевой страницы:

POST /PGID/userpermissions HTTP/1.1
Host: graph.facebook.com
Content-Length: 245
role=MANAGER&user=X&business=B&access_token=<application_access_token>

Затем получивший права администратора злоумышленник может отобрать права у легитимного администратора:

Delete /<page_id>/userpermissions HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
user=<target_user_id>&access_token=<application_access_token>

Facebook уже решил проблему, но, даже учитывая то, что патч уже готов, исследователь просит быть начеку и внимательно относиться к тому, какие права доступа получают сторонние приложения.

Категории: Главное, Уязвимости