O pesquisador Alaa Abdulridha, estudante de engenharia de computação da universidade da cidade de Kharkiv, da Ucrânia, publicou em seu blog a informação de que ganhou um prêmio de US$ 54.800 do programa de recompensas – bug bounty – do Facebook por ter descoberto e informado uma falha que dava acesso à rede interna da empresa. Em dezembro de 2020 ele já havia ganho US$ 7.500 do Facebook por descobrir uma vulnerabilidade na API de um serviço aparentemente usado pelo departamento jurídico da empresa: a falha de dezembro podia ter sido explorada para redefinir a senha de qualquer conta para um aplicativo da web usado internamente por funcionários do Facebook, disse ele.
Em post no seu blog publicado na quinta-feira dia 18 de março de 2021, o pesquisador disse que continuou analisando o mesmo aplicativo e mais uma vez conseguiu acessá-lo, mas desta vez manipulando os dados dos cookies. Ele afirmou que a partir desse acesso foi capaz de lançar um ataque de falsificação de solicitação pelo lado do servidor (SSRF ou server side requst forgery) e obter acesso à rede interna do Facebook. O Facebook descreveu isso como “um invasor capaz de enviar solicitações HTTP para sistemas internos e ler suas respostas”.
Abdulridha mostrou no post a correspondência que recebeu do Facebook agradecendo sua descoberta e notificando-o do recebimento do prêmio.
Veja isso
Facebook é tido como plataforma online com maior risco à segurança
Facebook vai rotular mídias estatais da Rússia, China e Irã
“Pude escanear as portas dos servidores locais e navegar nos aplicativos locais / aplicativos da web que a empresa usa em sua infraestrutura”, disse no blog . “Tenho certeza de que essa vulnerabilidade nas mãos erradas pode ser escalada para RCE e pode representar um grande risco para a empresa e seus clientes”.
O pesquisador disse que conseguiu o acesso encadeando duas vulnerabilidades até chegar ao ponto de acesso à rede interna do Facebook. Ele disse no seu blog que esse tipo de acesso permitia:
- Acessar qualquer conta de funcionário do Facebook no painel do departamento jurídico
- Acessar a rede interna do Facebook (intern.our.facebook.com)
- Talvez escalar essa vulnerabilidade e usá-la para fazer a varredura da rede e de servidores internos
“Todos nós sabemos o quão crítico é o SSRF, especialmente por não ter limite de velocidade de acesso”, afirmou.
Com agências de notícias internacionais
