ALERTAS | Noticias | 25 ABR 2016

Un cazador de vulnerabilidades de Facebook confunde a otro cazador con un hacker

Este mes Facebook ha publicado los últimos datos sobre una supuesta infiltración de hackers en sus servidores, una historia que ha dado un giro en lo que en un principio parecía un ciberataque importante con robo de credenciales incluido.
Facebook vulnerabilidad
Patricia Bachmaier

En febrero del año pasado Orange Tsai, un Ethical Hacker, se unió al programa de Facebook para encontrar errores y vulnerabilidades en sus sistemas de seguridad. Con gran habilidad, Tsai consiguió acceder a uno de los servidores corporativos de la empresa de Mark Zuckerberg; sin embargo, lo que encontró en este punto alerto al hacker blanco: parecía actividad maliciosa cuyo fin era mapear las propiedades online de Facebook.

La alarma de Tsai saltó cuando vio que uno de los servidores con el nombre files.fb.com hospedaba una aplicación para asegurar la transferencia de ficheros; esta aplicación fue creada por la compañía de software Accellion, y presuntamente se había usado entre empleados de Facebook para compartir archivos y colaborar. Analizando la aplicación Tsai encontró siete vulnerabilidades, entre las que se incluían dos códigos de ejecución remotos.

En este punto Tsai aprovechó las vulnerabilidades para poder acceder al servidor corporativo y empezar a recopilar información, parte necesaria para el informe a entregar a la propia compañía a la hora de notificar vulnerabilidades. Fue en ese acceso dónde encontró la actividad más sospechosa: errores en el servidor de logging que habían sido instalados intencionadamente previo a su investigación. Estos errores resultaron ser una vulnerabilidad basada en PHP, también conocida como Web Shell.

La Web Shell permitía a aquellos que la habían instalado ejecutar comandos Shell en el servidor y subir archivos a la web, y aún más importante, secuestraba la aplicación de Accellion de autentificación y grababa todas las credenciales de los empleados que accedían a los servidores.

“En ese momento había unas 300 credenciales almacenadas desde el 1 al 7 de febrero; se trataba de un gran error de seguridad”, ha explicado Tsai en su blog el pasado martes. Tras analizar el robo de las credenciales Tsai pudo sacar en claro que los hackers habían borrado los archivos de las contraseñas cada pocos días, mientras que habían intentado radiografiar la red interna de Facebook con el fin de entrar en el servidor LDAP, otros servidores e incluso conseguir las claves privadas SSL.

Sin embargo, cuando Tsai informó de todo lo que había observado a Facebook y Accellion, la empresa descubrió que no se trataba de un ataque perpetrado por cibercriminales, sino que Tsai se había cruzado con la actividad de otro cazador de vulnerabilidades de su programa.

La empresa ha declarado que no se ha tratado de un gran fallo de seguridad, ya que la aplicación vulnerable no está conectada al núcleo de seguridad o a su sistema de producción. “Además, las credenciales robadas no proveen de acceso a ningún sistema crítico, ya que están protegidas por una segunda autentificación”, según ha comentado Facebook.

Uno de los incidentes se dio a la vez que se hizo pública una vulnerabilidad en el código remoto de ejecución de la aplicación centrado en transferencias de archivo de Accellion. A pesar de que el descubrimiento de Tsai no fue tan grave como el Ethical Hacker creyó al principio, Facebook ha recompensado al experto con 10.000 dólares y ha llevado a cabo una investigación interna sobre los errores de los servidores que ha finalizado este mes.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información