Раскрыта уязвимость в Facebook, позволяющая удалить любое видео с сайта

Раскрыта уязвимость в Facebook, позволяющая удалить любое видео с сайта

Раскрыта уязвимость в Facebook, позволяющая удалить любое видео с сайта

Facebook выплатил исследователю 10 000 $ за обнаруженную уязвимость, которая позволяла удаленно удалить любое видео с сайта.

Эксперт Дэн Меламед (Dan Melamed) сообщил об этой бреши Facebook еще летом. Однако только в понедельник он раскрыл подробности, касающиеся этой уязвимости.

Дэн обнаружил, что видео, загруженные на страницу публичного мероприятия на Facebook имеют присвоенный им идентификатор. Размещая видео на странице, эксперт мог заменить его идентификатор на идентификатор видео, которое он хотел удалить, таким образом прикрепив это видео к своему посту. Далее все, что нужно было сделать исследователю, это удалить свое сообщение и целевое видео удалялось тоже.

Идентификатор видео можно легко получить из его URL. Злоумышленник может перехватить собственный запрос загрузки видео и заменить идентификатор.

Помимо удаления видео, тот же метод может быть использован для отключения комментариев под атакуемым видео. Это можно было сделать с помощью опции "Выключать комментарии" в том же самом выпадающем меню, в котором находится опция "Удалить сообщение".

Эксперты даже опубликовали видео, подтверждающее наличие уязвимости и демонстрирующее ее эксплуатацию.

Facebook потребовалось всего несколько дней после получения отчета эксперта, чтобы исправить брешь. Самому исследователю соцсеть решила выплатить 10 000 $ в качестве вознаграждения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый ботнет использует утилиту hping3 для проведения DDoS-атак

В интернете объявился новый, активно развиваемый DDoS-зловред. Проведенный в NSFOCUS анализ показал, что новобранец, нареченный hpingbot, написан с нуля на Go и нацелен на платформы Windows и Linux/IoT.

Обнаруженный в прошлом месяце троян (результат VirusTotal на 4 июля — 13/72) также поддерживает множество архитектур CPU, включая amd64, mips, arm и 80386. В настоящее время в состав созданного на его основе ботнета входят немногим более 14,6 тыс. зараженных устройств.

Для своей работы hpingbot использует совсем другие ресурсы, нежели многочисленные производные Mirai и Gafgyt: прячет полезную нагрузку на Pastebin, а DDoS-атаки проводит с помощью hping3 — бесплатного инструмента диагностики сетей, похожего на ICMP ping.

Подобный подход не только повышает шансы зловреда на сокрытие от обнаружения, но также значительно снижает стоимость его разработки и операционные расходы.

Ссылки на Pastebin жестко прописаны в коде hpingbot. Отдаваемый с сайта пейлоад (IP-адреса C2, скрипты для загрузки дополнительных компонентов) часто сменяется.

Из техник DDoS вредоносу подвластен флуд — SYN, TCP, ACK, UDP и многовекторный. Примечательно, что Windows-версия трояна не способна оперировать hping3 из-за ограничений по внешним условиям, она в основном заточена под загрузку и запуск дополнительных модулей.

Из последних был выявлен написанный на Go генератор DDoS-флуда (UDP и TCP), который с 19 июня загружается на ботнет для тестирования. Он связан с теми же C2, но не имеет доступа к Pastebin, не вызывает hping3 и не умеет обновляться.

Распространяется hpingbot через брутфорс SSH, используя специальный модуль. Закрепиться в системе зловреду помогают Systemd, SysVinit и Cron, после выполнения своих задач он удаляет свои файлы и подчищает логи.

Зафиксированные DDoS-атаки с ботнета пока немногочисленны — по всей видимости, операторы пока сосредоточены на наращивании потенциала.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru