พบแฮ็คเกอร์ติดตั้ง Backdoor บน Facebook Server นักล่าช่องโหว่รับรางวัลกว่า 350,000 บาท

facebook-logo

Orange Tsai นักวิจัยด้านความมั่นคงปลอดภัยชาวไต้หวันจากบริษัท Devcore ค้นพบช่องโหว่บนเซิร์ฟเวอร์ของบริษัท Facebook หลังเข้าร่วม Bug Bounty Program เพียง 2 เดือน แต่ที่น่าตกใจคือ ภายในช่องโหว่เหล่านั้นกลับมีสคริปต์ Backdoor แฝงตัวอยู่ ซึ่งเป็นไปได้ที่จะมีแฮ็คเกอร์เคยเข้ามาโจมตีก่อนแล้ว หลังจากรายงานเหตุการณ์ดังกล่าวแก่ Facebook ส่งผลให้ Tsai ได้รับเงินรางวัลถึง $10,000 เหรียญ หรือประมาณ 350,000 บาท

facebook_backdoor_3

พบช่องโหว่บนแอพพลิเคชันแชร์ไฟล์บนโดเมน files.fb.com

Tsai เข้าร่วม Bug Bounty Program หรือการล่ารางวัลจากการค้นพบช่องโหว่ของ Facebook เมื่อเดือนกุมภาพันธ์ที่ผ่านมา เขาได้เริ่มสแกนช่องโหว่ตามหมายเลข IP Address ของ Facebook และค้นพบว่าโดเมน files.fb.com ใช้แอพพลิเคชัน Secure File Transfer เวอร์ชันที่มีช่องโหว่อยู่ ซึ่งแอพพลิเคชันดังกล่าวถูกพัฒนาโดยบริษัท Accellion และถูกใช้โดยพนักงาน Facebook สำหรับแชร์ไฟล์และติดต่อสื่อสารหากัน

หลังจากวิเคราะห์แอพพลิเคชันที่ใช้แชร์ไฟล์ดังกล่าว Tsai พบช่องโหว่ทั้งหมด 7 รายการ ได้แก่ ช่องโหว่ Cross-site Scripting 3 รายการ, ช่องโหว่ Remote Code Execution 2 รายการ และปัญหา Local Privilege Escalation 2 ราย ซึ่งสามารถดูรายละเอียดแต่ละช่องโหว่ที่ Blog ของเขา

facebook_backdoor_1

facebook_backdoor_2

พบ PHP Web Shell หลังเจาะช่องโหว่เข้าไปได้สำเร็จ

Tsai ได้ใช้ช่องโหว่บนแอพพลิเคชันสำหรับแชร์ไฟล์ของ Accellion เพื่อเจาะระบบเข้าไปยังเซิร์ฟเวอร์ของ Facebook ได้สำเร็จ หลังจากที่บรรลุเป้าหมายแล้ว เขาได้เริ่มทำการวิเคราะห์ข้อมูล Log ต่างๆ บนเครื่องเซิร์ฟเวอร์เพื่อเตรียมเขียนรายงานช่องโหว่ที่ค้นพบ ผลปรากฏว่าเขากลับเจอหลักฐานที่ชี้ชัดว่ามี Backdoor แบบ PHP หรือที่รู้จักกันดีในนาม PHP Web Shell ติดตั้งอยู่บนเครื่องเซิร์ฟเวอร์ คาดว่าเป็นฝีมือของแฮ็คเกอร์ที่เคยเจาะผ่านช่องโหว่ที่เขาค้นพบมาก่อนหน้านี้

หวังขโมยรหัสผ่านพนักงาน Facebook

Web Shell ที่ Tsai ค้นพบช่วยให้แฮ็คเกอร์สามารถรันคำสั่ง Shell จากระยะไกลบนเครื่องเซิร์ฟเวอร์หรืออัพโหลดไฟล์เข้ามาได้ แต่ที่เลวร้ายกว่านั้นคือ มันสามารถไฮแจ็คกระบวนการพิสูจน์ตัวตนของแอพพลิเคชันจาก Accellion และขโมยข้อมูล Credential ของพนักงาน Facebook ที่ใช้งานแอพพลิเคชันดังกล่าวได้

ไม่ส่งผลกระทบต่อระบบของผู้ใช้ Facebook

ข่าวดีคือ Backdoor ที่ถูกค้นพบนี้ อยู่บนเซิร์ฟเวอร์ที่ใช้งานภายในบริษัท Facebook เอง ไม่ได้อยู่บนเซิร์ฟเวอร์หลักที่เก็บข้อมูลของผู้ใช้ ดังนั้นผู้ใช้ Facebook ทั่วโลกจึงไม่ได้รับผลกระทบต่อช่องโหว่ดังกล่าวแต่อย่างใด ด้วยการรายงานการค้นพบนี้เอง ช่วยให้ Tsai ได้รับเงินรางวัลจาก Facebook สูงถึง $10,000 ซึ่งทางทีมความมั่นคงปลอดภัยของ Facebook จะดำเนินการตรวจสอบและวิเคราะห์หลักฐานเชิงดิจิทัลต่อไป

ที่มาและเครดิตรูปภาพ: http://thehackernews.com/2016/04/hack-facebook-account.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

AWS เปิดให้บริการ Amazon Braket สำหรับเรียนรู้ Quantum Computing

AWS ผู้ให้บริการ Public Cloud ชื่อดัง ประกาศเปิดให้บริการ Amazon Braket สำหรับให้เหล่านักวิทยาศาสตร์ นักวิจัย และนักพัฒนาสามารถเริ่มศึกษาการใช้ Quantum Computing จากผู้ให้บริการชั้นนำหลากหลายราย ไม่ว่าจะเป็น …

Gartner ออก Magic Quadrant ด้าน SD-WAN ผล VMware, Silver Peak ครองผู้นำ

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน WAN Edge Infrastructure หรือที่รู้จักกันในนามโซลูชัน SD-WAN ฉบับล่าสุดประจำปี 2019 ผลปรากฏว่า VMware …