พบช่องโหว่ Zero-day สำหรับแฮ็ค Facebook Page รับรางวัลไปกว่า 550,000 บาท

Arun Sureshkumar นักวิจัยด้านความมั่นคงปลอดภัยจากอินเดีย ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน Business Manager ของ Facebook ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุม Facebook Page ที่ต้องการได้ทันที Sureshkumar รับรางวัลจาก Facebook ผ่าน Bug Bounty Program ไปเป็นเงินมูลค่าสูงถึง $16,000 หรือประมาณ 550,000 บาท

Sureshkumar เป็นนักศึกษาจาก MES College of Engineering ในเมือง Kuttippuram ประเทศอินเดีย ได้โพสต์รายละเอียดเกี่ยวกับช่องโหว่บน Facebook ที่ตนเองค้นพบบน Blog ของตน ระบุว่า ช่องโหว่ดังกล่าวมีสาเหตุมาจากวิธีการประมวลผล Request สำหรับ Business Account ของ Facebook ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาสการกำหนดสิทธิ์และสามารถเข้าถึงทรัพยากรต่างๆ ของ Facebook Page เช่น ข้อมูลในฐานข้อมูล ผ่านการปรับแต่งค่าพารามิเตอร์ได้ (ในที่นี้คือหมายเลข ID ต่างๆ)

วิดีโอด้านล่างแสดงการ POC ช่องโหว่ที่ Sureshkumar ค้นพบ Business ID 2 ชุดถูกใช้ในการโจมตี โดยเริ่มแรกเขาจะทำการดักจับ Request ก่อน จากนั้นทำการสับเปลี่ยนและแก้ไขชุด ID บน Request นั้นๆ ให้เป็น ID ของ Page ที่ต้องการแฮ็ค แล้วส่ง Request ที่ทำการปรับแต่งแล้วไปยัง Facebook แทน ผลลัพธ์คือ Sureshkumar สามารถเปลี่ยนตัวเองเป็นผู้ดูแล Page ดังกล่าวได้อย่างง่ายดาย แล้วสามารถทำอะไรกับ Page นั้นๆ ก็ได้

Sureshkumar ค้นพบช่องโหว่ดังกล่าวเมื่อวันที่ 29 สิงหาคม และได้แจ้งรายละเอียดผ่านไปยัง Bug Bounty Program ของ Facebook ซึ่งทางทีมงานด้านความมั่นคงปลอดภัยของ Facebook ออกมาระบุว่า ได้จัดการอุดช่องโหว่เป็นที่เรียบร้อยในวันถัดมา รวมทั้งมอบเงินรางวัลแก่ Sureshkumar เป็นจำนวนสูงถึง $16,000

ที่มา: https://threatpost.com/facebook-fixes-vulnerability-that-led-to-account-takeover-pays-researcher-16k/120688/