พบแฮ็คเกอร์ติดตั้ง Backdoor บน Facebook Server นักล่าช่องโหว่รับรางวัลกว่า 350,000 บาท

Orange Tsai นักวิจัยด้านความมั่นคงปลอดภัยชาวไต้หวันจากบริษัท Devcore ค้นพบช่องโหว่บนเซิร์ฟเวอร์ของบริษัท Facebook หลังเข้าร่วม Bug Bounty Program เพียง 2 เดือน แต่ที่น่าตกใจคือ ภายในช่องโหว่เหล่านั้นกลับมีสคริปต์ Backdoor แฝงตัวอยู่ ซึ่งเป็นไปได้ที่จะมีแฮ็คเกอร์เคยเข้ามาโจมตีก่อนแล้ว หลังจากรายงานเหตุการณ์ดังกล่าวแก่ Facebook ส่งผลให้ Tsai ได้รับเงินรางวัลถึง $10,000 เหรียญ หรือประมาณ 350,000 บาท

พบช่องโหว่บนแอพพลิเคชันแชร์ไฟล์บนโดเมน files.fb.com

Tsai เข้าร่วม Bug Bounty Program หรือการล่ารางวัลจากการค้นพบช่องโหว่ของ Facebook เมื่อเดือนกุมภาพันธ์ที่ผ่านมา เขาได้เริ่มสแกนช่องโหว่ตามหมายเลข IP Address ของ Facebook และค้นพบว่าโดเมน files.fb.com ใช้แอพพลิเคชัน Secure File Transfer เวอร์ชันที่มีช่องโหว่อยู่ ซึ่งแอพพลิเคชันดังกล่าวถูกพัฒนาโดยบริษัท Accellion และถูกใช้โดยพนักงาน Facebook สำหรับแชร์ไฟล์และติดต่อสื่อสารหากัน

หลังจากวิเคราะห์แอพพลิเคชันที่ใช้แชร์ไฟล์ดังกล่าว Tsai พบช่องโหว่ทั้งหมด 7 รายการ ได้แก่ ช่องโหว่ Cross-site Scripting 3 รายการ, ช่องโหว่ Remote Code Execution 2 รายการ และปัญหา Local Privilege Escalation 2 ราย ซึ่งสามารถดูรายละเอียดแต่ละช่องโหว่ที่ Blog ของเขา

พบ PHP Web Shell หลังเจาะช่องโหว่เข้าไปได้สำเร็จ

Tsai ได้ใช้ช่องโหว่บนแอพพลิเคชันสำหรับแชร์ไฟล์ของ Accellion เพื่อเจาะระบบเข้าไปยังเซิร์ฟเวอร์ของ Facebook ได้สำเร็จ หลังจากที่บรรลุเป้าหมายแล้ว เขาได้เริ่มทำการวิเคราะห์ข้อมูล Log ต่างๆ บนเครื่องเซิร์ฟเวอร์เพื่อเตรียมเขียนรายงานช่องโหว่ที่ค้นพบ ผลปรากฏว่าเขากลับเจอหลักฐานที่ชี้ชัดว่ามี Backdoor แบบ PHP หรือที่รู้จักกันดีในนาม PHP Web Shell ติดตั้งอยู่บนเครื่องเซิร์ฟเวอร์ คาดว่าเป็นฝีมือของแฮ็คเกอร์ที่เคยเจาะผ่านช่องโหว่ที่เขาค้นพบมาก่อนหน้านี้

หวังขโมยรหัสผ่านพนักงาน Facebook

Web Shell ที่ Tsai ค้นพบช่วยให้แฮ็คเกอร์สามารถรันคำสั่ง Shell จากระยะไกลบนเครื่องเซิร์ฟเวอร์หรืออัพโหลดไฟล์เข้ามาได้ แต่ที่เลวร้ายกว่านั้นคือ มันสามารถไฮแจ็คกระบวนการพิสูจน์ตัวตนของแอพพลิเคชันจาก Accellion และขโมยข้อมูล Credential ของพนักงาน Facebook ที่ใช้งานแอพพลิเคชันดังกล่าวได้

ไม่ส่งผลกระทบต่อระบบของผู้ใช้ Facebook

ข่าวดีคือ Backdoor ที่ถูกค้นพบนี้ อยู่บนเซิร์ฟเวอร์ที่ใช้งานภายในบริษัท Facebook เอง ไม่ได้อยู่บนเซิร์ฟเวอร์หลักที่เก็บข้อมูลของผู้ใช้ ดังนั้นผู้ใช้ Facebook ทั่วโลกจึงไม่ได้รับผลกระทบต่อช่องโหว่ดังกล่าวแต่อย่างใด ด้วยการรายงานการค้นพบนี้เอง ช่วยให้ Tsai ได้รับเงินรางวัลจาก Facebook สูงถึง $10,000 ซึ่งทางทีมความมั่นคงปลอดภัยของ Facebook จะดำเนินการตรวจสอบและวิเคราะห์หลักฐานเชิงดิจิทัลต่อไป

ที่มาและเครดิตรูปภาพ: http://thehackernews.com/2016/04/hack-facebook-account.html