Hintertür in Facebooks Firmen-Servern offengelegt

CyberkriminalitätSicherheit
shutterstock_bug (Bild: Shutterstock)

Ein Mitarbeiter des Sicherheitsanbieters Devcore hat sie ausfindig gemacht. Hacker nutzen dabei Anfälligkeiten in einer hausinternen File-Sharing-Applikation. Über diese Hintertür entwenden sie Log-in-Daten von rund 300 Facebook-Mitarbeitern. Offenbar begannen die Attacken bereits im Juli vergangenen Jahres.

Facebook besitzt offenbar eine Hintertür in seinen Firmen-Servern. Darauf wurde das Unternehmen von einem Mitarbeiter des taiwanischen Sicherheitsanbieters Devcore aufmerksam gemacht. Hacker, die vor dem Mitarbeiter namens Orange Tsai Zugang zu den Servern hatten, sollen sie installiert haben. Er hatte die Anfälligkeit bei Arbeiten im Zuge von Facebooks Prämienprogramm für Sicherheitslücken entdeckt, wie Computerworld berichtet.

shutterstock_bug (Bild: Shutterstock)

Tsai stieß bei der Analyse von Facebooks Internetangeboten auf den Server “files.fb.com”, der eine von Accellion entwickelte Anwendung zum sicheren Datenaustausch hostete, die vermutlich von Mitarbeitern des Sozialen Netzwerks eingesetzt wird. Insgesamt sieben Schwachstellen fand er in der Anwendung, von denen zwei das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglichten.

Die Lücken verwendete er außerdem, um Zugang zu Facebooks Firmen-Server zu erlangen und Daten aus Log-Dateien für seinen Bericht an Facebooks Sicherheitsteam zu aggregieren. Dabei entdeckte er einige ungewöhnliche Einträge, die ihn laut dem Bericht zu einer PHP-basierenden Hintertür führten, welche offenkundig von Hackern auf dem Server hinterlassen wurden.

Sie ermöglichte es den Unbekannten, Shell-Befehle auszuführen, Dateien hochzuladen und den Anmeldeprozess der Accellion-Anwendung abzugreifen. Als Konsequenz daraus hatten die Hacker auch Zugang zu einer Datei mit den Log-in-Daten von Facebook-Mitarbeitern, die die Filesharing-App eingesetzt haben.

“Als ich die Datei entdeckt habe, gab es rund 300 Anmeldedaten aus dem Zeitraum zwischen 1. und 7. Februar”, schreibt Tsai in einem Blogbeitrag. “Als ich das gesehen habe, dachte ist, das ist ein sehr ernster Sicherheitsvorfall.”

Umfrage

Welche Produkteigenschaften müssen 2-in-1-Geräte für den Einsatz in Ihrem Unternehmen erfüllen? Wählen Sie die drei wichtigsten aus.

Ergebnisse

Loading ... Loading ...

Tsai mutmaßt nun, dass die Anmeldedaten auch für andere Firmen-Server von Facebook funktionieren, da die Authentifizierung über LDAP und Windows Active Directory stattfindet. Als Beispiele führte er die Outlook Web App oder selbst VPN-Zugänge an. Ob sie sich für andere Server verwenden lassen, hat Tsai eigenen Angaben zufolge allerdings nicht ausprobiert.

Die Log-Dateien zeigen aber, dass die Hacker Anmeldedaten von Facebook-Mitarbeitern entwendet haben. Sie sollen außerdem versucht haben, sich bei anderen Servern anzumelden und sogar private SSL-Schlüssel zu erbeuten. “Es gab zwei Phasen, in denen das System offenbar von Hackern benutzt wurde, eine Anfang Juli und eine Mitte September”, so Tsai weiter. Im Juli sei etwa zum selben Zeitpunkt eine schwerwiegende Sicherheitslücke in der File Transfer Appliance von Accellion enthüllt worden.

Das Ergebnis seiner Untersuchung gab Tsai an Facebook sowie an Accellion weiter. Dem Forscher zahlte Facebook dafür eine Belohnung von 10.000 Dollar. Seinen Blogbeitrag gab er letzte Woche nach Abschluss von Facebooks eigenen Ermittlungen frei.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen