un ricercatore ha violato Facebook!!

Buongiorno cari lettori, oggi parleremo di un hacker etico che è riuscito a violare facebook.

Il ricercatore ha hackerato Facebook dopo aver identificato e sfruttato RCE non autenticato su MobileIron's Mobile Device Management (MDM) utilizzato dai dipendenti dell'azienda.

Non ogni volta che una piattaforma viene trovata vulnerabile a causa della sua stessa colpa, almeno non del tutto. A volte può essere utilizzato un servizio di terze parti che ha un effetto a catena negativo sulla sicurezza degli utenti.

È il caso recente di Facebook, dove un ricercatore di DEVCORE, Orange Tsai, ha trovato Facebook vulnerabile ad attacchi critici a causa di un difetto di MobileIron. Per vostra informazione, MobileIron è un sistema di Mobile Device Management (MDM) utilizzato dal gigante dei social network per controllare i dispositivi aziendali dei dipendenti.

Il ricercatore ha identificato 3 vulnerabilità incentrate sul permettere agli aggressori di impegnarsi:

Lettura di file arbitrari - CVE-2020-15507

Esecuzione remota del codice (RCE) - CVE-2020-15505

Bypassare le misure di autenticazione in atto a distanza - CVE-2020-15506

Tutti questi sono stati segnalati a MobileIron nel mese di marzo e una patch è stata rilasciata dalla società in seguito il 15 giugno 2020. Tuttavia, poiché si tratta di uno degli MDM più utilizzati, con quasi 20.000 aziende, è stato essenziale vedere quanto velocemente queste aziende utilizzatrici adottano la patch.

Nel fare ciò, una delle aziende monitorate è stata Facebook dove, dopo 15 giorni di monitoraggio, si è scoperto che non è stata intrapresa alcuna azione da parte del loro team.

Tenendo questo in mente, Tsai ha ottenuto l'accesso remoto al server di Facebook attraverso una connessione shell, come dimostra il video qui sotto:

Poi la questione è stata segnalata a Facebook attraverso il loro programma di bug bounty, per il quale è stata data una ricompensa sconosciuta anche al ricercatore. Oltre a questo, sono state analizzate anche le aziende di Fortune Global 500 in cui è stato trovato esposto anche il 15% dei loro server MobileIron.

Su MobileIron abbiamo dimostrato un RCE completamente non autenticato. Ci sono altre storie, ma a causa del tempo, abbiamo appena elencato qui gli argomenti per chi è interessato: Come rilevare i dispositivi dei dipendenti da MDM, Smontare il protocollo MI, e il CVE-2020-15506, un interessante bypass di autenticazione, ricercatore sbagliato nel loro post sul blog.

Per concludere, è importante per le organizzazioni non solo monitorare i propri sistemi alla ricerca di vulnerabilità, ma anche quelli dei loro fornitori partner. Questo può aiutare a restringere la superficie di attacco che un attore malintenzionato può essere in grado di sfruttare, soprattutto per un'azienda grande come quella di Facebook.

Inoltre, anche altre piattaforme MDM come AirWatch dovrebbero prendere spunto da questo e lavorare alla messa in sicurezza delle loro piattaforme.

spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.