ผู้เชี่ยวชาญโชว์แฮ็ก Facebook ด้วยช่องโหว่จากโซลูชัน MobileIron MDM

Orange Tsai นักวิจัยด้านความมั่นคงปลอดภัยจาก DEVCORE ได้อาศัยของโหว่จากโซลูชัน Third-party ที่ Facebook เลือกใช้แต่มีการอัปเดตล่าช้า จนสามารถนำไปสู่การเข้าถึงเซิฟร์เวอร์ของบริษัท

MobileIron MDM เป็นโซลูชันควบคุมกำกับดูแลอุปกรณ์ภายในองค์กร ซึ่งมีบริษัทจำนวนมากไว้วางใช้งานและหนึ่งในนั้นคือ Facebook อย่างไรก็ดีมีช่องโหว่ที่เกิดขึ้นกับโซลูชัน Third-party 3 รายการที่นักวิจัยพบว่า Facebook ยังไม่ได้อัปเดต จึงสาธิตการแฮ็กเข้าสู่เซิร์ฟเวอร์ด้วยช่องโหว่ดังนี้

  • CVE-2020-15507 : ช่องโหว่ลอบอ่านไฟล์
  • CVE-2020-15505 : ช่องโหว่ลอบรันโค้ดทางไกล
  • CVE-2020-15506 : ช่องโหว่ที่สามารถ Bypass การพิสูจน์ตัวตนผ่านทางไกล

อันที่จริงแล้วทาง MobileIron ได้ประกาศแพตช์มาตั้งแต่เดือนมีนาคมแล้ว แต่ Facebook เองที่ล่าช้าในการอัปเดตแพตช์ นักวิจัยจึงสาธิตการโจมตีเสียเลย (วีดีโอประกอบด้านล่าง) ซึ่งนักวิจัยได้ส่งข้อมูลไปหาทีม Facebook แล้วผ่านทางโปรแกรม Bug Bounty ซึ่งไม่รู้ว่าได้รางวัลไปเท่าไหร่

ที่มา : https://www.hackread.com/researcher-hacked-facebook-by-exploiting-flaws-in-mobileiron-mdm/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalkThai คว้ารางวัลในงาน Prime Minister Awards: Thailand Cybersecurity Excellence Award 2022

บริษัทเทคทอล์กไทยกรุ๊ป จำกัด (TechTalkThai) โดยคุณสุธีร์ กิจเจริญการกุล ผู้ร่วมก่อตั้งและประธานบริษัทฯ ได้รับเกียรติเข้ารับมอบโล่รางวัลดีเด่น ในฐานะหน่วยงานให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศดีเด่น Cybersecurity Excellence Award (Supporting) ภายในงาน Prime Minister …

Tanium ร่วมกับ Microsoft Intelligent Security Association เพื่อเสริมความแข็งแกร่งให้กับความปลอดภัยด้านไอที

Microsoft และ Tanium จะเปลี่ยนอนาคตของการรักษาความปลอดภัยและการดำเนินงานด้านไอทีสำหรับองค์กร