Krytyczna wada na serwerze Facebooka usunięta

Krytyczna luka, umożliwiająca zdalne wykonanie kodu na serwerze Facebooka, została niedawno załatana po tym, jak analityk bezpieczeństwa Daniel „Blaklis” Le Gall zgłosił ją, przedstawiając proof-of-concept (PoC).

Luka została wykryta w niestabilnej usłudze Sentry (aplikacja wieloplatformowa, która może gromadzić logi i debugować aplikacje napisane w języku Python), która napisana jest w Pythonie z wykorzystaniem biblioteki Django. Sporadyczne awarie aplikacji ujawniły, że w Django nie został wyłączony tryb debugowania, w następstwie czego ślad stosu zwracał informacje o nazwach plików cookie sesji, opcjach i używanym serializatorze (Pickle).

Mimo że klucz tajny, używany przez Django do podpisywania plików cookie sesji, nie był dostępny w śladzie stosu, analitykowi udało się znaleźć listę opcji, która ujawniła nieskasowany systemowy tajny klucz.

„Jednakże lista SENTRY_OPTIONS zawiera klucz o nazwie system.secret-key, który nie jest kasowany” – napisał Le Gall. „Cytując dokumentację Sentry, system.secret-key jest kluczem tajnym używanym do podpisywania sesji. Jeśli zostanie on zagrożony, ważne jest, aby został odnowiony, ponieważ w przeciwnym razie można znacznie łatwiej przejąć sesje użytkownika; O, wygląda na to, że jest to coś w rodzaju nadpisywania KLUCZA TAJNEGO Django!”.

Zatem analityk był w stanie sfałszować własne ciasteczka i zastąpić nimi ciasteczka Sentry, w zasadzie uruchamiając dowolny kod na serwerze. Aby wykazać poprawność koncepcji, wprowadzone zostało 30-sekundowe opóźnienie ładowania strony.

„Ten kod jest prostym dowodem koncepcji: pobiera treść istniejącego pliku cookie usługi Sentry i zastępuje jego zawartość dowolnym obiektem, który uruchomi polecenie os.system („sleep 30”), gdy będzie niezserializowany” – napisał Le Gall. „Gdy użyje się tego pliku cookie, rzeczywiście potrzeba dodatkowych 30 sekund do wczytania strony, co potwierdza obecność wady”.

„Nie ma systemów w 100% bezpiecznych, możemy jedynie minimalizować prawdopodobieństwo potencjalnych włamań. Zaleca się stosowanie kompleksowych rozwiązań do ochrony przed zagrożeniami, na które składają się: ochrona antywirusowa, ochrona poczty, moduły szyfrowania dysków, zarządzanie aktualizacjami, ochrona przed ransomware i inne” – komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken.

Serwer został wyłączony do czasu wdrożenia poprawki, a analityk bezpieczeństwa zdobył nagrodę w wysokości 5 tys. dolarów.