Ο Wesley Wineberg, ένας αναλυτής ασφάλειας ο οποίος δουλεύει με σύμβαση στην εταιρεία Synack, δήλωσε σήμερα στο προσωπικό του ιστολόγιο πως βρήκε ένα σημαντικό κενό ασφαλείας στις υποδομές του Instagram από το οποίο πήρε πρόσβαση στον κώδικα της σελίδας, στα πιστοποιητικά SSL, στα κλειδιά που χρησιμοποιούνται για την πιστοποίηση των cookies και κωδικούς για τον mail server...
Ο Wineberg λέει επίσης πως πήρε πρόσβαση σε λογαριασμούς υπαλλήλων του Instagram, μερικούς από τους οποίους κατάφερε να ξεκλειδώσει, αλλά και στους αποθηκευτικούς κάδους της Amazon που είναι υπεύθυνοι να αποθηκεύουν οι χρήστες τις φωτογραφίες τους.
"Το να πω πως πήρα πρόσβαση σε ολόκληρο το κρυφό περιεχόμενο του Instagram δεν νομίζω να είναι υπερβολικό. Με τα κλειδιά που πήρα θα μπορούσα να υποδυθώ το instagram.com ή να υποδυθώ οποιαδήποτε έγκυρο χρήστη ή υπάλληλο" έγραψε ο Wineberg. "Μπορεί να είναι εκτός θέματος εργασίας αλλά θα μπορούσα πολύ εύκολα να πάρω πρόσβαση σε οποιαδήποτε λογαριασμό ή κρυφό περιεχόμενο. Με της πληροφορίες που πήρα δεν είναι καθαρό σε πόσους server θα μπορούσα να πάρω πρόσβαση αλλά σίγουρα ανοίχτηκε μια πόρτα με πολλές ευκαιρίες".
Ο Wineberg ανακάλυψε 3 κενά ασφαλείας τα οποία και ανέφερε σε τρεις διαφορετικές περιπτώσεις μεταξύ της 21 Οκτώβρη και της 1ης Δεκεμβρίου. Στην πρώτη περίπτωση πήρε 2.500 δολάρια ως αμοιβή του Bounty Program του Facebook. Στην δεύτερη και τρίτη αναφορά όμως δέχτηκε διαφορετικές αντιδράσεις. Αρχικά τον προειδοποίησαν πως έχει βγει εκτός θέματος σχετικά με το bounty program και έπειτα κάλεσαν τον CEO της Synack, Jay Kaplan, απειλώντας τον με μηνύσεις για τις πράξεις του Wineberg.
Σε ανακοίνωση του o CSO του Facebook, Alex Stamos, δήλωσε "Είπα στον Jay πως δεν μπορούμε να επιτρέψουμε σε κανέναν να αντλήσει μεγάλο όγκο δεδομένων και να το αποκαλέσει 'νόμιμη' διαδικασία του Bounty program και αυτό θα πρέπει να το κρατήσω μακρυά από τα χέρια των δικηγόρων και των δύο πλευρών. Δεν απείλησα τον Wineberg ή την Synack με μηνύσεις και ούτε ζήτησα την απόλυση του. Θα ήθελα απλά να εστιάσουμε στην αναφορά σφαλμάτων και όχι στην άντληση δεδομένων από τους server μας στην Amazon."
Ο Stamos είπε επίσης πως η Synack δεν είχε ζητήσει την διεξαγωγή ερευνάς από τον Wineberg.
Ο Wineberg πάντως λέει πως η ανησυχία του Facebook είναι πως δεν θέλει να δημοσιευθούν τα δεδομένα που άντλησε αλλά επίσης να μην γίνει γνωστό πως υπήρχε τόσο κρίσιμο κενό ασφαλείας.
Εντωμεταξύ το Facebook απάντησε με μία δήλωση η οποία αναφέρει πως όλα τα κλειδιά έχουν αλλάξει και οι οδοί που χρησιμοποίησε ο Wineberg για να πάρει πρόσβαση έχουν κλείσει ενώ ισχυρίζονται πως ο ερευνητής έχει κρατήσει δεδομένα και πληροφορίες σχετικά με το κενό ασφαλείας που σημαίνει πως παραβίασε τους κανόνες που έχουν τεθεί από το Bounty Program.
Όλα ξεκίνησαν από μια πληροφορία που δέχτηκε ο Wineberg από έναν συνάδελφο του πως σε έναν προσβάσιμο από το ίντερνετ εξυπηρετητή στο Amazon s3 υπήρχε το εργαλείο παρακολούθησης "Sensu". Το κενό αυτό είχε αναφερθεί στο Facebook αλλά ο Wineberg κατάφερε και βρήκε ένα hard-coded Ruby token το οποίο υποτίθεται πως ήταν μυστικό. Όπως αποδείχτηκε το συγκεκριμένο token θα μπορούσε όχι μόνο να ξεγελάσει συνεδρίες με τον ιστότοπο αλλά θα μπορούσε επίσης να χρησιμοποιηθεί για να εκτελεστεί κώδικας απομακρυσμένα. Μάλιστα με τον ίδιο φορέα κατάφερε να κατεβάσει το περιεχόμενο μιας Postgre βάσης δεδομένων το οποίο περιείχε 60 λογαριασμούς υπαλλήλων μαζί με τους κρυπτογραφημένους κωδικούς τους εκ τους οποίους τους 12 κατάφερε να αποκρυπτογραφήσει. Όλοι ήταν αδύναμοι κωδικοί.
Ο Wineberg έκανε αναφορά για το πρόβλημα με το token στης 21 Οκτωβρίου ενώ την αμέσως επόμενη ανέφερε και το συμβάν με τους αδύναμους κωδικούς. Το Facebook ανταποκρίθηκε στην πρώτη αναφορά και ασφάλισε τον εξυπηρετητή με firewall ενώ στο δεύτερο του έστειλε μήνυμα πως έχει ξεφύγει από τα όρια και τον σκοπό του Bounty program χωρίς να του εξηγούν τους λόγους.
O Wineberg δεν σταμάτησε εκεί όμως. Ο ίδιος λέει πως κοίταξε στο αρχείο ρυθμίσεων του Sensu όπου εκεί βρήκε ένα AWS κλειδί που είχε αναφορές σε 82 διαφορετικούς κάδους αποθήκευσης της Amazon. Σε κανένα κάδο δεν κατάφερε να πάρει πρόσβαση εκτός από έναν. Σε αυτό τον κάδο βρήκε ένα άλλο AWS κλειδί το οποίο του έδωσε πρόσβαση στους υπόλοιπους κάδους. Εκεί ήταν που πήρε πρόσβαση σε κλειδιά SSL, κωδικούς και κλειδιά υπογραφών.
Ο ίδιος αναφέρει πως έχει σβήσει όλο το υλικό που κατέβασε από τους εξυπηρετητές του Instagram και δήλωσε το εξής "Υπάρχουν αρκετά κενά ασφαλείας στις ρυθμίσεις της φιλοξενίας τους στο Amazon. Αν και η αλλαγή των κλειδιών είναι πραγματικά εύκολη δεν γνωρίζω κατά πόσο έχουν διορθώσει τα υπόλοιπα προβλήματα που υπάρχουν όπως για παράδειγμα η έλλειψη ελέγχου. Τέλος δεν είναι γνωστό αν αυτή η ευπάθεια έχει χρησιμοποιηθεί από άλλους στο παρελθόν".
GADGETNEWSGR.BLOGSPOT.COM
ΠΗΓΗ: threatpost.com
Ο Wineberg λέει επίσης πως πήρε πρόσβαση σε λογαριασμούς υπαλλήλων του Instagram, μερικούς από τους οποίους κατάφερε να ξεκλειδώσει, αλλά και στους αποθηκευτικούς κάδους της Amazon που είναι υπεύθυνοι να αποθηκεύουν οι χρήστες τις φωτογραφίες τους.
"Το να πω πως πήρα πρόσβαση σε ολόκληρο το κρυφό περιεχόμενο του Instagram δεν νομίζω να είναι υπερβολικό. Με τα κλειδιά που πήρα θα μπορούσα να υποδυθώ το instagram.com ή να υποδυθώ οποιαδήποτε έγκυρο χρήστη ή υπάλληλο" έγραψε ο Wineberg. "Μπορεί να είναι εκτός θέματος εργασίας αλλά θα μπορούσα πολύ εύκολα να πάρω πρόσβαση σε οποιαδήποτε λογαριασμό ή κρυφό περιεχόμενο. Με της πληροφορίες που πήρα δεν είναι καθαρό σε πόσους server θα μπορούσα να πάρω πρόσβαση αλλά σίγουρα ανοίχτηκε μια πόρτα με πολλές ευκαιρίες".
Ο Wineberg ανακάλυψε 3 κενά ασφαλείας τα οποία και ανέφερε σε τρεις διαφορετικές περιπτώσεις μεταξύ της 21 Οκτώβρη και της 1ης Δεκεμβρίου. Στην πρώτη περίπτωση πήρε 2.500 δολάρια ως αμοιβή του Bounty Program του Facebook. Στην δεύτερη και τρίτη αναφορά όμως δέχτηκε διαφορετικές αντιδράσεις. Αρχικά τον προειδοποίησαν πως έχει βγει εκτός θέματος σχετικά με το bounty program και έπειτα κάλεσαν τον CEO της Synack, Jay Kaplan, απειλώντας τον με μηνύσεις για τις πράξεις του Wineberg.
Σε ανακοίνωση του o CSO του Facebook, Alex Stamos, δήλωσε "Είπα στον Jay πως δεν μπορούμε να επιτρέψουμε σε κανέναν να αντλήσει μεγάλο όγκο δεδομένων και να το αποκαλέσει 'νόμιμη' διαδικασία του Bounty program και αυτό θα πρέπει να το κρατήσω μακρυά από τα χέρια των δικηγόρων και των δύο πλευρών. Δεν απείλησα τον Wineberg ή την Synack με μηνύσεις και ούτε ζήτησα την απόλυση του. Θα ήθελα απλά να εστιάσουμε στην αναφορά σφαλμάτων και όχι στην άντληση δεδομένων από τους server μας στην Amazon."
Ο Stamos είπε επίσης πως η Synack δεν είχε ζητήσει την διεξαγωγή ερευνάς από τον Wineberg.
Ο Wineberg πάντως λέει πως η ανησυχία του Facebook είναι πως δεν θέλει να δημοσιευθούν τα δεδομένα που άντλησε αλλά επίσης να μην γίνει γνωστό πως υπήρχε τόσο κρίσιμο κενό ασφαλείας.
Εντωμεταξύ το Facebook απάντησε με μία δήλωση η οποία αναφέρει πως όλα τα κλειδιά έχουν αλλάξει και οι οδοί που χρησιμοποίησε ο Wineberg για να πάρει πρόσβαση έχουν κλείσει ενώ ισχυρίζονται πως ο ερευνητής έχει κρατήσει δεδομένα και πληροφορίες σχετικά με το κενό ασφαλείας που σημαίνει πως παραβίασε τους κανόνες που έχουν τεθεί από το Bounty Program.
Πως ξεκίνησε η οδύσσεια του Wineberg
Όλα ξεκίνησαν από μια πληροφορία που δέχτηκε ο Wineberg από έναν συνάδελφο του πως σε έναν προσβάσιμο από το ίντερνετ εξυπηρετητή στο Amazon s3 υπήρχε το εργαλείο παρακολούθησης "Sensu". Το κενό αυτό είχε αναφερθεί στο Facebook αλλά ο Wineberg κατάφερε και βρήκε ένα hard-coded Ruby token το οποίο υποτίθεται πως ήταν μυστικό. Όπως αποδείχτηκε το συγκεκριμένο token θα μπορούσε όχι μόνο να ξεγελάσει συνεδρίες με τον ιστότοπο αλλά θα μπορούσε επίσης να χρησιμοποιηθεί για να εκτελεστεί κώδικας απομακρυσμένα. Μάλιστα με τον ίδιο φορέα κατάφερε να κατεβάσει το περιεχόμενο μιας Postgre βάσης δεδομένων το οποίο περιείχε 60 λογαριασμούς υπαλλήλων μαζί με τους κρυπτογραφημένους κωδικούς τους εκ τους οποίους τους 12 κατάφερε να αποκρυπτογραφήσει. Όλοι ήταν αδύναμοι κωδικοί.
Ο Wineberg έκανε αναφορά για το πρόβλημα με το token στης 21 Οκτωβρίου ενώ την αμέσως επόμενη ανέφερε και το συμβάν με τους αδύναμους κωδικούς. Το Facebook ανταποκρίθηκε στην πρώτη αναφορά και ασφάλισε τον εξυπηρετητή με firewall ενώ στο δεύτερο του έστειλε μήνυμα πως έχει ξεφύγει από τα όρια και τον σκοπό του Bounty program χωρίς να του εξηγούν τους λόγους.
O Wineberg δεν σταμάτησε εκεί όμως. Ο ίδιος λέει πως κοίταξε στο αρχείο ρυθμίσεων του Sensu όπου εκεί βρήκε ένα AWS κλειδί που είχε αναφορές σε 82 διαφορετικούς κάδους αποθήκευσης της Amazon. Σε κανένα κάδο δεν κατάφερε να πάρει πρόσβαση εκτός από έναν. Σε αυτό τον κάδο βρήκε ένα άλλο AWS κλειδί το οποίο του έδωσε πρόσβαση στους υπόλοιπους κάδους. Εκεί ήταν που πήρε πρόσβαση σε κλειδιά SSL, κωδικούς και κλειδιά υπογραφών.
Ο ίδιος αναφέρει πως έχει σβήσει όλο το υλικό που κατέβασε από τους εξυπηρετητές του Instagram και δήλωσε το εξής "Υπάρχουν αρκετά κενά ασφαλείας στις ρυθμίσεις της φιλοξενίας τους στο Amazon. Αν και η αλλαγή των κλειδιών είναι πραγματικά εύκολη δεν γνωρίζω κατά πόσο έχουν διορθώσει τα υπόλοιπα προβλήματα που υπάρχουν όπως για παράδειγμα η έλλειψη ελέγχου. Τέλος δεν είναι γνωστό αν αυτή η ευπάθεια έχει χρησιμοποιηθεί από άλλους στο παρελθόν".
GADGETNEWSGR.BLOGSPOT.COM
ΠΗΓΗ: threatpost.com
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου