اكتشاف باب خلفي BackDoor خطير مثبت على أحد خوادم فيسبوك من طرف هاكر يسمح له بسرقة الباسووردات
اكتشاف 7 ثغرات أمنية خطيرة + باب خلفي BackDoor بأحد خوادم فيسبوك يمكن من خلالها التحكم الكامل به.
في خطوة هي الولى من نوعها ، اكتشف احد المستشارين الأمنيين لدى شركة Devcore التيوانية ، المتخصصة في الأمن المعلوماتي و الحماية من الإختراق يدعى Orange Tsai سكريبت باب خلفي Backdoor خطير جدا ، مثبتا على أحد خوادم شركة فيسبوك الداخلية يمكن استغلاله لسرقة معلومات الولوج للموضفين العاملين بالشركة .و بما أن الباب الخلفي وجد بأحد الخوادم الداخلية الخدمية للشركة ، و ليس بأحد الخوادم الرئيسية ، فإنه ليس هناك أي خوف على الحسابات و المعلومات الشخصية للمستخدمين . إلا أن هذا لا يقلل من خطورته البتة . فالأمر برمته يعني أن إحدى خوادم فيسبوك ، التي من المفروض فيها أن تكون منيعة قد تعرضت للإختراق من طرف أحدهم . و من تمكن من إختراق خادم داخلي قد يتمكن من اختراق خادم رئيسي .
و قد توصل Orange Tsai الى اكتشاف هذا الباب الخلفي الخطير بينما هو يقوم بعملية مسح لعنوان الأيبي لفيسبوك كجزء من عمله اليومي الروتيني كصائد ثغرات و أخطاء برمجية ، فلاحظ اسم نطاق - tfbnw.net - يعمل على عدة خوادم ، و يحتوي على تطبيق Accellion لنقل البيانات الآمنة و المستخدم لمشاركة البيانات و نقلها . الشيء الذي دفعه لتعميق البحث ، و فحص الكود المصدري للتطبيق .
بعد فحص الكود المصدري لتطبيق Accellion ، اكتشف أنه يحتوي على عدة ثغرات أمنية خطيرة حددها في الآتي :
- 3 ثغرات cross-site scripting - XSS .
- ثغرة Remote Code Execution .
- ثغرة Pre-authorized SQL injection .
- ثغرة تجاوز الصلاحية Privilege escalation
وبينما هو يحاول جمع معلومات أكثر لكتابة تقرير عن الأخطاء و الثغرات المكتشفة و إرسالها الى فيسبوك ، وجد رسالة خطأ غريبة متعلقة بأحد سكريبتات PHP ، تشير بوضوح لوجود Web Sell (باب خلفي Backdoor مبني على PHP ) مثبت على الخادم من طرف أحد المخترقين .
و بعد اتمام Tsai لعملية البحث و إعداد تقريرا شامل يتضمن كل الثغرات المكتشفة ، و من ثم ارسالها الى فيسبوك ، كافأته هذه الأخيرة بمبلغ 10,000 دولارا أمريكيا نظيرا لخدماته و اكتشافاته التي جنبت الشركة الكثير من المخاطر ، و لتشجيع المزيد من هذه المبادرات .
اكتشاف باب خلفي BackDoor خطير مثبت على أحد خوادم فيسبوك من طرف هاكر يسمح له بسرقة الباسووردات
Reviewed by l
on
4/23/2016
Rating:

ليست هناك تعليقات: