Beveiligingsonderzoeker ontdekt backdoorscript bij hacken Facebook

Whitehathacker Orange Tsai ontdekte sporen van een backdoorscript op de bedrijfsservers van Facebook. Via het script op de servers van de socialmediagigant wisten hackers vermoedelijk wachtwoorden en gebruikersnamen van medewerkers in handen te krijgen.

Orange kwam op het spoor van de kwetsbaarheden door via een omgekeerde whois-zoekactie de domeinnamen van Facebook door te lichten. Hij kwam daar een domeinnaam tfbnw.net tegen, wat voor 'The Facebook Network' staat. Vervolgens ontdekte hij vpn.tfbnw.net, schrijft hij op zijn blog.

Daarna zocht hij verder binnen de ip-adressen van Facebook en kwam op het domein files.fb.com tussen verschillende klasse-c-ip-adressen uit. Het files-domein werd door Facebook-werknemers gebruikt voor het delen van bestanden via Accellions Secure File Transfer-applicatie FTA. Orange ontdekte in totaal zeven bugs in FTA en kon via de kwetsbaarheden verder de servers van Facebooks medewerkers binnendringen.

Door bestaande log-data door te nemen op de servers, ontdekte Orange dat er een op php-gebaseerde backdoor bestond, ook wel bekend als PHP Web Shell. Deze shell zou opgezet kunnen zijn door een hacker. Via de hack zouden gegevens van zo'n 300 medewerkers in handen gekregen zijn.

Nadat Orange voldoende informatie had verzameld, lichtte hij het Facebook Security Team in. Voor het vinden en melden van de bug kreeg Orange 10.000 dollar. Orange zelf werkt voor een Taiwanese beveiligingsfirma Devcore.

Facebook reageerde later op Hacker News met de mededeling dat het bedrijf niet de volledige controle over alle software heeft. Ook zouden de systemen volgens de Facebookmedewerker los staan van andere systemen, ofwel de systemen die gebruikt worden voor de site zelf. In de reactie maakt de medewerker van Facebook duidelijk dat wat Orange ontdekte, voortkwam uit onderzoek van een andere beveiligingsonderzoeker die meedoet aan het bounty program van Facebook.

Lees meer

Reacties (31)

+1 aadje93
25 april 2016 18:01

is hij op dit punt "Door bestaande log-data door te nemen op de servers, ontdekte Orange dat er een op php-gebaseerde backdoor bestond, ook wel bekend als PHP Web Shell." al niet "genoeg" bezig geweest, en ga je dan niet op black hat verder? hij is immers "binnen", hij vind een serieus "spoor" van eventuele vorig hacks, en gaat het exploieteren om zelf verder te zoeken? Dat noem ik niet echt white hat meer....

+2 freaxje

Beheer en beveiliging

@aadje93 • 25 april 2016 18:05

Uit het artikel:

"In de reactie maakt de medewerker van Facebook duidelijk dat wat Orange ontdekte, voortkwam uit onderzoek van een andere beveiligingsonderzoeker die meedoet aan het bounty program van Facebook."

en op Hacker news:

"This is Reginaldo from the Facebook Security team. We're really glad Orange reported this to us. On this case, the software we were using is third party. As we don't have full control of it, we ran it isolated from the systems that host the data people share on Facebook. We do this precisely to have better security, as chromakode mentioned. After incident response, we determined that the activity Orange detected was in fact from another researcher who participates in our bounty program. Neither of them were able to compromise other parts of our infra-structure so, the way we see it, it's a double win: two competent researchers assessed the system, one of them reported what he found to us and got a good bounty, none of them were able to escalate access."

Witte of zwarte hacker, dit was dus gewoon toegelaten door Facebook zelf.

Superstoned
@freaxje • 26 april 2016 09:17

OddesE werdt hier naar beneden gemod maar maakte dezelfde opmerking als onze interne security man: zou ik ook zeggen als ik Facebook was. Laat ik hem ff quoten om uit te leggen dat er meer achter zit:

- from the article:
According to Facebook security engineer Reginaldo Silva, the password-slurping malware was installed by another security researcher who had earlier poked around within Facebook's system in an attempt to snag a bug bounty.

"We're really glad Orange reported this to us. In this case, the software we were using is third party. As we don't have full control of it, we ran it isolated from the systems that host the data people share on Facebook. We do this precisely to have better security," said Silva.

but this makes no sense....
in the access log in the blog post it is clearly shown that the other guy regularly downloaded the credentials...
I guess FB didn't want to admit that much.

(freaxje merkte dit ook op hieronder, had ik niet gezien)

Als je achter een bounty aanzit ga je, na een inbraak, wellicht wat rondzoekenen kijken wat er gaande is - dat mag op zich nog. Maar data downloaden, en al helemaal maandenlang passwords sniffen en downloaden, dat is echt geen white-hat meer en dat Facebook dat "another security researcher" noemt is echt wel PR.

Nu we toch aan het quoten zijn vindt ik deze opmerking van Lukas ook wel mooi, temeer daar Accellion hun product specifiek als erg 'secure' verkoopt (de naam, he?):

I like how they also use PHP... They hide this fact very well.
Sales often gets to hear from competitors: THEY USE PHP IT'S INSECURE
Well. Others do as well they just hide it and it is insecure. Meh. We're pretty fine.

Kijk eens naar wat de hacker schreef over de Accellion code:

But from the fragments of source code mentioned in the Advisory, I felt that with such coding style there should still be security issues remained in FTA if I kept looking.

Lijkt mij weer zo'n geval van 'security through obscurity' leads to less security. Nee, open source projecten zijn niet ALTIJD veiliger of beter. ownCloud schrijft zat slechte code - maar die wordt dan gevonden, uitgebreid (en in de pers) bekritiseerd en gerepareerd. Linkje naar een voorbeeld: https://news.ycombinator.com/item?id=11467747
(en nee, dit is niet alleen precies positief over wat we doen. Maar projecten die dit soort aandacht niet krijgen (en wij zijn een groot project; EN we betalen ervoor) kun je feitelijk nog heel wat minder vertrouwen)

Er is een reden waarom je altijd als 1 van de belangrijkste redenen om iets niet te open-sourcen te horen krijgt 'maar de kwaliteit van de code is zo slecht': de kwaliteit van gesloten code is vaak erg slecht! En dat gaat natuurlijk net zo goed op voor 'security' code. Niet altijd. Wel bijna.

[Reactie gewijzigd door Superstoned op 26 april 2016 09:18]

+2 freaxje

Beheer en beveiliging

@Superstoned • 26 april 2016 11:04

Dat maandenlang sniffen en downloaden was weliswaar door een andere researcher of inbreker gedaan, niet door de persoon uit dit artikel. Wat die andere inbreker betreft zou ik zeggen: schuldig aan computervredebreuk. Deze onderzoeker die onder het bug bounty programma onderzoek deed heeft de sporen van die inbreker gevonden en keurig gerapporteerd.

Moest die vorige ook van een bug bounty programma geweest zijn, dan heeft Facebook's staff bijzonder weinig moeite gedaan om de tooling van die vorige op te ruimen.

Voor mij zou enkel en alleen een volledige herinstallatie van het OS, alle software en de master boot record voldoende zijn. In geval van hardware i.p.v. een virtual machine zou ik waarschijnlijk zelfs de hardware vervangen.

Superstoned
@freaxje • 26 april 2016 11:49

Ja, we hadden het inderdaad over de andere hacker, niet degene die de disclosure deed. En als dit was blijven hangen zou ik als security head mijn team flink op de kop geven ...

OddesE
@freaxje • 25 april 2016 20:50

Zou ik ook zeggen als ik Facebook was...

Armin

Beheer en beveiliging

@aadje93 • 25 april 2016 18:17

Je quote selectief. Hij brak in, zag o.a. logbestanden, en ontdekte dat er mogelijk iemand voor hem was geweest. Nergens staat dat hij die backdoor ook daarna zelf gebruikt heeft.

+1 freaxje

Beheer en beveiliging

@Armin • 25 april 2016 18:24

Klopt, ik heb net zijn blog gelezen en na daadwerkelijk in te breken door source code te analyzeren en een remote execution fout in de PHP code te vinden heeft hij gewoon heel braaf wat dingen geprobeerd. Log files van apache (cat opsturen over de remote execution) bleken leesbaar en daar zag hij URL aanvragen met parameters die verwezen naar files op het FS. Dus heeft hij een keer ls en cat opgestuurd op die files en daar bleken een aantal interessante tools geschreven in PHP (en executable vanaf de webserver) te staan. Hij heeft ook bv. de private SSL keys proberen te catten maar dat gaf permission denied.

Alles lijkt onder het bug bounty programma te zijn gedaan.

De vorige, waarvan hij sporen heeft gevonden, lijkt echter wel verder gegaan te zijn. Oa. keylogger geïnstalleerd, files (php scripts) geschreven, etc. Maar zelfs dat vind ik onder de noemer bug bounty programma toegelaten.

matroosoft
25 april 2016 18:07

Ik zou zeggen dat voor zoiets €10.000 wat weinig is. Facebook zijnde zou ik hier heel wat meer voor betalen.

xoniq
@matroosoft • 25 april 2016 18:16

Toen ik het bedrag 'aan het lezen' was, had ik nog een 0 extra verwacht.

matroosoft
@xoniq • 25 april 2016 18:19

Dit inderdaad. Zo'n laag bedrag zal veel hackers er niet van weerhouden om deze ontdekkingen ergens anders te slijten. Met een jaaromzet van zo'n 12,5 miljard dollar is dit erg karig..

[Reactie gewijzigd door matroosoft op 25 april 2016 18:21]

xoniq
@matroosoft • 25 april 2016 18:21

Nouja laag is 10.000 nou ook weer niet, ik zou er verdomd gelukkig mee zijn. Maar zo'n grote hack, waar je zo ver binnen weet te komen vind ik wat vreemd qua contrast wat sommige mensen verdienen aan kleinere exploits.

0 daredevil__2000
@xoniq • 26 april 2016 12:14

Als je het artikel leest dan staat er wel duidelijk vermeld dat dit een op zich staan systeem is wat niet gekoppeld is aan de andere systemen van Facebook. De omvang is daarmee beperkter dan wanneer het een lek zou zijn in het systeem van Facebook waar daadwerkelijk alle data op staat en je bijvoorbeeld toegang krijgt tot de gegevens van alle gebruikers.
Dus het is misschien een kleinere hack als het doet voorkomen en dan is die 10.000 best redelijk.

+1 763299
25 april 2016 18:59

Hier het verhaal van de pentester, voor de geïnteresseerden:

http://devco.re/blog/2016...-backdoor-script-eng-ver/

+1 jimmy_dg
@763299 • 25 april 2016 19:07

DIe link staat ook al in het artikel

0 763299
@jimmy_dg • 25 april 2016 19:10

Oh, excuus

Puddi Puddin
25 april 2016 18:08

En wanneer gaan ze het bruteforcen van sociale media fixen.. Sta me nog versteld hoe wachtwoorden gekraakt worden die vrijwel random gegenereerd zijn

+1 FuaZe
@Puddi Puddin • 25 april 2016 18:14

Waar haal je dat vandaan?

Puddi Puddin
@FuaZe • 25 april 2016 18:49

Zit regelmatig op TS met mensen en eentje daarvan weet elke keer mijn password. Natuurlijk puur voor de gein maar toch. Hij zegt dat hij een bruteforce methode gebruikt

+1 RGAT
@Puddi Puddin • 25 april 2016 19:31

Als hij elke keer je wachtwoord weet zal jij elke keer een voorspelbaar wachtwoord hebben, het ergens opschrijven waar hij bij kan of heeft hij toegang tot je pc...
Het bruteforcen van social media is (zonder bugs) niet zomaar mogelijk, na een paar pogingen krijg je time outs en uiteindelijk een blokade, als hij 1 keer je wachtwoord door puur geluk in enkele pogingen 'brute forced' kan dat, maar keer op keer dan gebruikt hij toch echt iets anders en zal je naar je eigen beveiliging moeten kijken...

(Edit: phishing vergeten...)

[Reactie gewijzigd door RGAT op 25 april 2016 19:32]

+1 mrdemc

@RGAT • 25 april 2016 19:57

En niet te vergeten de mail/notificatie die je krijgt van fb als je account op een ander device is gebruikt. Zou je apparaat maar eens checken op keyloggers en geen opgeslagen wachtwoorden gebruiken.

Dat laatste natuurlijk tegen puddi puddin

[Reactie gewijzigd door mrdemc op 25 april 2016 19:58]

defixje

@Puddi Puddin • 25 april 2016 20:31

Ja hoor brute force?

Weet je zeker dat je nooit een "hotgirl.jpg.exe" van hem gehad hebt waar een keylogger in verstopt zat?

Brute force op FB is niet mogelijk aangezien ze dit blokkeren.

Ik zou je PC maar een checken als begin...

Puddi Puddin
@defixje • 25 april 2016 20:33

Ik ben niet gek ik weet wel wat ik aan klik.

Dan moet er een andere manier zijn waardoor hij meerdere malen mijn pass weet.

The Reeferman
@Puddi Puddin • 26 april 2016 04:22

Ik zou SUPERantispyware eens draaien, vond bij mij(jaren geleden) op al mn systemen trojans en keyloggers. En ik weet heel goed wat ik doe met mn PC. Virus scanner zei niks, spybot S&D vond niks.

0 van der Berg
25 april 2016 18:00

Niet al te best!

Bux666
25 april 2016 21:06

Facebook reageerde later op Hacker News met de mededeling dat het bedrijf niet de volledige controle over alle software heeft.

WTF? Dus het grootste sociale netwerk ter wereld heeft niet de volledige controle over hun software? Kan iemand mij dit uitleggen?

0 D11
@Bux666 • 25 april 2016 22:00

Omdat het niet "hun" software is.

0 iceheart
@Bux666 • 26 april 2016 06:30

Zelfs de grootsten in de markt zullen nooit ál hun tooltjes intern ontwikkelen; het kost gewoon klauwen met geld om eigenlijk constant het wiel opnieuw uit te vinden. Dus ja, facebook heeft vast nog wel meer third party applicaties voor intern gebruik draaien. Dat heeft tegenwoordig zo ongeveer iedereen wel

0 humbug
@Bux666 • 26 april 2016 06:44

Dit is een tool om bestanden te delen binnen bedrijven. Een soort Dropbox voor heet bedrijfsleven dus. Aangezien die functie niet de core business van Facebook is, is het voor hun niet de moeite waard om zelf een team een competitieve versie te laten bouwen en onderhouden. Dat team kan veel beter aan features werken voor Facebook zelf. Net zoals Facebook niet hun eigen mijnen explodeert om hun eigen cpu's te kunnen bakken voor hun eigen servers. Je moet ergens de grens trekken.

0 xSan
@humbug • 26 april 2016 16:22

Net zoals Facebook niet hun eigen mijnen explodeert om hun eigen cpu's te kunnen bakken voor hun eigen servers. Je moet ergens de grens trekken.

Waarom niet? Leuk man, vuurwerk!

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Beveiligingsonderzoeker ontdekt backdoorscript bij hacken Facebook

Lees meer

Reacties (31)

Sorteer op:

Weergave: