Internet là môi trường vô cùng phức tạp với vô số người tốt, kẻ xấu. Vì thế, rất nhiều hãng công nghệ đã không tiếc tiền treo thưởng cho những ai tìm được lỗ hổng bảo mật trong hệ thống của họ. Google đã chi gần 3 triệu USD trong năm 2015 cho chương trình Bug Bounty Program trong khi đó, Facebook - mạng xã hội lớn nhất hành tinh cũng duy trì chính sách tương tự.
Orange Tsai, chuyên gia công nghệ của DevCore là một hacker "mũ trắng" - người chuyên săn tìm các lỗ hổng cho các công ty lớn để lấy tiền thường. Tháng 2/2016, Tsai đã bắt đầu thử sức với Facebook bằng việc cố gắng xâm nhập ứng dụng chia sẻ tập tin nội bộ của mạng xã hội lớn nhất hành tinh, cụ thể ở đây là domain files.fb.com - dịch vụ transfer, hosting và syncing file chạy trên nền tảng Secure File Transfer (FTA) do Accellion phát triển.
Orange Tsai bắt đầu với việc xâm nhập domain files.fb.com
Không lâu trước đó, các chuyên gia bảo mật cũng từng phát hiện ra một lỗ hổng trên FTA v0.18 (LINK).Sau khi được Accellion vá lỗi, domain files.fb.com đã nhanh chóng cập nhật lên FTA v0.20.
Thế nhưng, sau khi tìm hiểu sâu vào sourcode (được mã hóa bằng IonCube), Tsai đã tìm ra không chỉ 1 mà tới 7 lỗ hổng bảo mật trên ứng dụng này, bao gồm: 3 lỗ hổng XSS (cross-site scripting), 1 lỗi Pre-auth SQL Injection + Known-Secret-Key cho phép thực thi mã code từ xa và 2 lỗ hổng cho phép leo thang đặc quyền hệ thống (Local Privilege Escalation).
Anh đã phát hiện ra 7 lỗ hổng bao mật, trong có đó lỗ hổng SQL injection cho phép thực thi mã code từ xa
Mọi chuyển trở nên dễ dàng hơn, Tsai tận dụng lỗ hổng SQL injection vừa phát hiện ở trên, truy cập vào máy chủ của Facebook và sau đó chiếm quyền kiểm soát hoàn toàn thiết bị. Cuối cùng, chuyên gia công nghệ này quyết định thông báo tới Facebook để mạng xã hội này sửa lỗi. Tuy nhiên, có 1 thứ còn đáng sợ hơn được Tsai phát hiện.
Máy chủ của Facebook đã bị cài backdoor, keylogger và bị xâm nhập không chỉ 1 lần ...
Trong khi nghiên cứu những file log (tập tin chứa tất cả thông tin về các hoạt động trên máy chủ, như thông tin người truy cập, thời gian khách viếng thăm, địa chỉ IP…. hay thông báo lỗi), Tsai phát hiện những thông báo lỗi rất đáng ngờ.
Cụ thể, một webshell bí ẩn đã được "ai đó" cài lên máy chủ hoạt động như một keylogger có nhiệm vụ ghi lại tất cả thông tin đăng nhập của nhân viên Facebook trên domain files.fb.com vào file log trên.
Mọi việc bắt đầu "đáng sợ" hơn khi Tsai đọc sâu vào file log
Và phát hiện máy chủ Facebook đã bị cài webshell
Keylogger ghi lại username & password của nhân viên Facebook
Sau 1 khoảng thời gian nhất định, hacker lại xâm nhập vào máy chủ Facebook để xóa dấu vết
192.168.54.13 - - 17955 [Sat, 23 Jan 2016 19:04:10 +0000 | 1453575850] "GET /courier/custom_template/1000/bN3dl0Aw.php?c=./sshpass -p '********' ssh -v -o StrictHostKeyChecking=no soggycat@localhost 'cp /home/seos/courier/B3dKe9sQaa0L.log /home/seos/courier/B3dKe9sQaa0L.log.2; echo > /home/seos/courier/B3dKe9sQaa0L.log' 2>/dev/stdout HTTP/1.1" 200 2559 ...
Lấy thông tin dữ liệu từ file log
cat tmp_list3_2 | while read line; do cp /home/filex2/1000/$line files; done 2>/dev/stdout
tar -czvf files.tar.gz files
Truy cập hệ thống mail nội bộ của Facebook:
--20:38:09-- https://mail.thefacebook.com/
Resolving mail.thefacebook.com... 192.168.52.37
Connecting to mail.thefacebook.com|192.168.52.37|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://mail.thefacebook.com/owa/ [following]
--20:38:10-- https://mail.thefacebook.com/owa/
Reusing existing connection to mail.thefacebook.com:443.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: https://mail.thefacebook.com/owa/auth/logon.aspx?url=https://mail.thefacebook.com/owa/&reason=0 [following]
--20:38:10-- https://mail.thefacebook.com/owa/auth/logon.aspx?url=https://mail.thefacebook.com/owa/&reason=0
Reusing existing connection to mail.thefacebook.com:443.
HTTP request sent, awaiting response... 200 OK
Length: 8902 (8.7K) [text/html]
Saving to: `STDOUT'
0K ........ 100% 1.17G=0s
20:38:10 (1.17 GB/s) - `-' saved [8902/8902]
--20:38:33-- (try:15) https://10.8.151.47/
Connecting to 10.8.151.47:443... --20:38:51-- https://svn.thefacebook.com/
Resolving svn.thefacebook.com... failed: Name or service not known.
--20:39:03-- https://sb-dev.thefacebook.com/
Resolving sb-dev.thefacebook.com... failed: Name or service not known.
failed: Connection timed out.
Retrying.
Nghiêm trọng hơn, hacker này còn cố gắng đánh cắp SSL Key:
sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied
ls: /etc/opt/apache/ssl.key/server.key: No such file or directory
mv: cannot stat `x': No such file or directory
sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied
mv: cannot stat `x': No such file or directory
sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied
mv: cannot stat `x': No such file or directory
sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied
mv: cannot stat `x': No such file or directory
sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied
mv: cannot stat `x': No such file or directory
sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied
base64: invalid input
SSL Key xác thực là *.fb.com
Tiếp tục điều tra những file log khác trên hệ thống, Tsai đã xác định được cách thức, thời điểm hacker xâm nhập vào hệ thống máy chủ Facebook, vào tháng 7/2015 và 9/2015 để thu thập dữ liệu trên file log, đánh cắp SSL Key cũng như xóa dấu vết. Chuyên gia bảo mật này cũng khẳng định, đứng sau những lần tấn công vào hệ thống trên của Facebook là 1 người (nhóm người) mà thôi.
Sau khi thu thập tất cả thông tin, hình ảnh cùng những file log bị nghi ngờ, Tsai đã ngay lập tức báo cáo với đội bảo mật Facebook. Ngay lập tức, mạng xã hội này đã tiến hành điều tra lỗ hổng bảo mật trên, bên cạnh việc trao thưởng cho chuyên gia này số tiền 10.000 USD (hơn 220 triệu đồng).
Theo Devco, Trí Thức Trẻ