台湾资安研究员Orange Tsai参加脸书漏洞通报Bug Bounty活动时,发现脸书伺服器疑似被骇客植入后门程式的痕迹。
这也是另类台湾之光!任职于台湾资安公司戴夫寇尔(Devcore)资安研究员Orange Tsai,目前也是台湾科技大学资管所硕士生,他在今年2月脸书举办的漏洞通报比赛(Bug Bounty)中,成功挖掘到脸书伺服器被骇客植入后门程式和其他总计7个漏洞,成功通报脸书后,获得总计1万美元的奖金。
Orange Tsai表示,这次挖掘脸书漏洞的过程中,意外发现先前有骇客在脸书伺服器植入后门程式的迹象,发现疑似前人留下的Webshel??l后门,在研究漏洞的几天内,还记录到300名脸书员工登入的帐号和密码。
不过,脸书资安团队资安工程师Reginaldo Silva在Orange Tsai公布漏洞挖掘细节后,则对外表示,Orange Tsai发现的并不是由骇客植入的后门程式,而是另外一个参与漏洞通报比赛的研究团队的足迹。
脸书这样的说法,是否是为了隐藏伺服器端曾被植入后门程式的隐藏之词,不得而知,最终只有脸书内部调查才能知道实情。虽然脸书一再强调,并没有任何使用者的帐号和密码遭到这个后门程式外洩。不过,其他资安研究员并不相信,这个后门程式是另外一个漏洞通报团队的足迹。
从渗透测试的角度来看,找伺服器端漏洞的效益比较大
Orange Tsai从渗透测试的观点来挖掘脸书网站的漏洞,他表示,对骇客而言,可以掌握伺服器端的漏洞比使用者端的漏洞效益更大,因为骇客就可以直接取得网站权限、为所欲为。
他强调,多数的渗透测试都会先做Google Hacking ,从网路收集目标网站有没有一些可用资讯,例如:用了几个B段的IP?几个C段的IP?Whois的资料为何?反查(Reverse) Whois资料为何?用了什幺域名?内部使用的域名为何?猜测并扫描子域名为何?该公司平常爱用什幺样技术?有哪些设备?在Github、Pastebin等网站上,是否有洩漏什幺资讯等等。
Orange Tsai表示,类似脸书这样的大公司,因为伺服器成千上万台,对于网管人员而言,网路的防守相对弱势,因为骇客只要在网路边界上,可以找到一台有漏洞的伺服器,就可以进行内网渗透。他说,这是在大公司进行渗透测试时,最容易发现漏洞的地方。
再者,他强调,有许多连网设备往往不会提供下指令的介面,网路管理员只能从设备本身提供的介面去做设定,如果遇到零时差漏洞的攻击,可能已经从网路设备端被骇客入侵了还不自知。
第三点,「人」其实是资安最大的漏洞。Orange Tsai指出,有越来越多的个资外洩,不论是从公开资料找到公司的员工列表,或者是查询许多存放大规模外洩个资的资料库,许多骇客往往只需要查询这些资料库,就可以找到某一个目标网站中,有权限登入VPN的员工密码,就可以开始进行内网渗透。
找到7个漏洞,获得4个CVE编号
Orange Tsai先从容易找到漏洞的环节出发,在这个过程中却发现一个疑似脸书内网的网站:tfbnw.net,而在扫描这个vpn.tfbnw.net 同网段还有哪些其他的伺服器则发现,有一台第三方Accellion 的Secure File Transfer (简称FTA)加密传输档案网站:files.fb.com。FTA 为一款标榜安全档案传输的产品,可让使用者线上分享、同步档案,并整合AD、LDAP、Kerberos 等单一登入(Single Sign-on)机制,企业版更支援SSL VPN 服务。
他在这个网站总共找到7个漏洞,包括3个跨站脚本攻击漏??洞(Cross-Site Scripting),1个预先验证SQL注入导致远端程式执行(Pre-Auth SQL Injection leads to Remote Code Execution)漏洞, 1个已知密钥导致远端程式执行(Known-Secret-Key leads to Remote Code Execution)漏洞,和2个本地端权限提升漏洞。
找漏洞的方式除了黑箱的渗透测试外,还有白箱的原始码检测,Orange Tsai在此次找寻脸书漏洞的过程中,两种手法交叉使用。在回报漏洞的过程中,Orange Tsai揭露的漏洞也取得4个独立的CVE(Common Vulnerabilities and Exposures,通用弱点与漏洞)编号,包括:CVE-2016-2350、CVE-2016-2351、CVE-2016- 2352和CVE-2016-2353。
记录到约300笔脸书员工登入FTA帐号密码
不过在蒐集漏洞证据的过程中,Orange Tsai在「/var/opt/apache/php_error_log」网站伺服器的日誌(Log)中,发现了一些奇怪的PHP错误讯息,看起来像是边修改程式码Code边执行所产生的错误。
首先,他看到一些奇怪的PHP错误讯息,从错误讯息来看似乎像是边改Code边执行所产生的错误,之后跟随错误讯息的路径去看,则发现疑似前人留下的Webshell网站后门工具,其中有很多都是标準的PHP一句话木马,骇客可以以任何型式,在网页中插入一小段可供特殊语法执行的网页程式码。他发现,其中比较特别的是「sclient_user_class_standard.inc」这个档案,include_once中「sclient_user_class_standard.inc.orig」为原本对密码进行验证的PHP程式,骇客做了一个代理伺服器(Proxy)在中间,并在进行一些重要操作时,先把GET、 POST和COOKIE的值记录起来。
而骇客做了一个Proxy 在密码验证的地方,记录Facebook 员工的帐号密码,并且将记录到的密码放置在Web 目录下,骇客每隔一段时间使用wget 抓取。他也说,从纪录里面可以看到,除了使用者帐号密码外,还有从FTA 要求档案时的信件内容,记录到的帐号密码会定时Rotate(循环)。根据Orange Tsai的纪录,他发现该疑似骇客植入后门程式的迹象时,最近一次的Rotate,是从2月1日~2月7日总共约300比帐号密码的纪录,其中大多是@fb .com或是@facebook.com的员工登入FTA的帐号、密码。其中,一般使用者注册的密码经过Hash存在资料库,由SHA256 + SALT(加盐)储存;脸书员工@fb.com则走统一认证,使用LDAP由AD认证。
Orange Tsai表示,从access.log可以观察到,每隔数日骇客会将记录到的帐号密码清空,接着会打包档案,并对内部网路结构进行探测,使用Shell Script进行内网扫描(但忘记把STDERR导掉),尝试对内部LDAP进行连接,接着尝试访问内部网路资源,并试图找SSL私钥(Private Key )。透过上述种种方式,他才确定,脸书伺服器极有可能遭到骇客植入网路挂马,也有脸书员工帐号密码外洩的风险。
对于Orange Tsai,找到网站漏洞并获得网站主的肯定,是他最大成就感来源。而戴夫寇尔执行长翁浩正则表示,现在有许多国内外大型网站採用Bug Bounty计画,鼓励热血的资安人员勇于告诉企业漏洞的所在,并给予对等的尊重与奖励,达成资安圈所期望的正向循环,而Orange Tsai从渗透的角度看Facebook Bug Bounty 计画,就是一种骇客思维的呈现,也是企业资安防御者所应该学习的角度。
?
I 相关 / Other
由于便性与价钱优势,泡面是许多人宵夜或者月底拮据时的好朋友,不过,最近台湾泡面除了价钱越来越贵,似乎也越来越难吃。有网友凭借自身经验点出原因,精辟分析引发许多共鸣。网友在PTT八卦版发文,讨论为何这十几年
资安周报第20期:爱沙尼亚的网路居留证类似台湾自然人凭证,20分钟就可设立一间公司
爱沙尼亚政府提供全世界的民众,可以上网申请该国网路居留证,只要4个步骤加上100欧元,最晚一个月内,就有机会取得类似台湾自然人凭证,具备电子签章功能的网路公民虚拟居留证。 图片来源: 爱沙尼亚政府 随着5月1
裙襬摇摇高尔夫基金会连3年在旧金山“裙襬摇摇LPGA菁英赛”打出亮眼的小白球外交,热络台美关系,还打造了壮阔的海外“台湾主场”,不但创造台湾女将们跃上许多球员都无法企及的LPGA舞台,更凝聚了数万侨胞之心。唯一
好房网News记者贾蓉/整理报道 去年因为农舍大扫荡,让宜兰房市蒙上一层阴影,甚至传出委售量暴增2~3成的状况,不过交易数字会说话,其实宜兰房市表现堪称“北台湾最佳”,在一片冷清中创造年涨4%的佳绩,比双北
未来真有可能预测地震吗?!根据研究,规模七级以上大地震发生前,距离地球表面80公-里以上的“电离层”会发生剧烈的变化,今年美浓地震前一天,气象局就侦测到台湾高空的-电离层浓度明显增加,日本311地震,也观测到