El investigador Alaa Abdulridha, un estudiante de ingeniería informática en la Universidad de la ciudad de Kharkiv, Ucrania, publicó en su blog la información de que ganó un premio de $ 54,800 del programa de errores de recompensas de Facebook por descubrir e informar una falla que dio acceso a la información interna de la empresa. la red. En diciembre de 2020 ya había ganado 7.500 dólares de Facebook por descubrir una vulnerabilidad en la API de un servicio aparentemente utilizado por el departamento legal de la empresa: la falla de diciembre podría haberse aprovechado para restablecer la contraseña de cualquier cuenta para una aplicación web utilizada internamente. por los empleados de Facebook, dijo.
En un post de su blog publicado el jueves 18 de marzo de 2021, el investigador dijo que siguió analizando la misma aplicación y una vez más logró acceder, pero esta vez manipulando los datos de las cookies. Afirmó que desde ese acceso pudo lanzar un ataque de falsificación de solicitud del lado del servidor (SSRF o el lado del servidor requiere falsificación) y obtener acceso a la red interna de Facebook. Facebook describió esto como “un atacante capaz de enviar solicitudes HTTP a sistemas internos y leer sus respuestas”.
Abdulridha mostró en la publicación la correspondencia que recibió de Facebook agradeciéndole su descubrimiento y notificándole la recepción del premio.
vea eso
Facebook es visto como una plataforma en línea con mayor riesgo de seguridad
Facebook etiquetará a los medios estatales de Rusia, China e Irán
“Pude escanear los puertos de los servidores locales y navegar por las aplicaciones locales / aplicaciones web que la empresa usa en su infraestructura”, dijo en el blog. “Estoy seguro de que esta vulnerabilidad en las manos equivocadas se puede escalar a CER y puede suponer un gran riesgo para la empresa y sus clientes”.
El investigador dijo que obtuvo acceso encadenando dos vulnerabilidades hasta llegar al punto de acceso a la red interna de Facebook. Dijo en su blog que este tipo de acceso permitía:
- Acceda a cualquier cuenta de empleado de Facebook en el panel del departamento legal
- Acceda a la red interna de Facebook (intern.our.facebook.com)
- Quizás escale esta vulnerabilidad y utilícela para escanear la red y los servidores internos.
“Todos sabemos lo importante que es la SSRF, especialmente porque no tiene un límite de velocidad de acceso”, dijo.
Con agencias de noticias internacionales
Fuente: https://www.cisoadvisor.com.br/falha-de-cookies-do-facebook-permitiu-acesso-a-sua-rede-interna/?rand=59052
