Facebook: Hintertür in Firmen-Servern des Social Networks entdeckt

Die Hintertür in Facebooks Firmen-Servern, auf die ein Mitarbeiter des taiwanischen Sicherheitsanbieters Devcore das Social Network aufmerksam gemacht hat, wurde offenbar von Hackern installiert, die vor ihm Zugriff auf die Server hatten. Wie Computerworld berichtet, ist er bei Arbeiten im Rahmen von Facebooks Prämienprogramm für Sicherheitslücken auf das Leck gestoßen.

Das Ergebnis seiner Untersuchung gab Tsai an Facebook und auch an Accellion weiter. Facebook zahlte dem Forscher dafür eine Belohnung von 10.000 Dollar. Seinen Blogeintrag veröffentlichte er in der vergangenen Woche nach Abschluss von Facebooks eigenen Ermittlungen.

In konkreten Fall stieß Tsai bei der Analyse von Facebooks Internetangeboten auf den Server “files.fb.com”, der eine von Accellion entwickelte Anwendung zum sicheren Datenaustausch hostete, die wahrscheinlich von Mitarbeitern des Social Network benutzt wird. Er entdeckte in der Anwendung insgesamt sieben Schwachstellen, von denen zwei das Einschleusen und Ausführen von Schadcode aus der Ferne möglich machten.

Er nutzte die Sicherheitslücke außerdem, um auf Facebooks Firmen-Server zuzugreifen und Daten aus Log-Dateien für seinen Bericht an Facebooks Sicherheitsteam zu sammeln. Tsai entdeckte in diesem Zusammenhang einige ungewöhnliche Einträge, die ihn dem Bericht zufolge zu einer PHP-basierten Hintertür führten, die offenbar Hacker auf dem Server hinterlassen hatten. Sie machte es den Unbekannten möglich, Shell-Befehle auszuführen, Dateien hochzuladen und den Anmeldeprozess der Accellion-Anwendung abzufangen. Die Hacker hatten in der Folge auch Zugriff auf eine Datei mit den Anmeldedaten von Facebook-Mitarbeitern, die die Filesharing-App benutzt haben.

Tsai schreibt in einem Blogeintrag: “Als ich die Datei entdeckt habe, gab es rund 300 Anmeldedaten aus dem Zeitraum zwischen 1. und 7. Februar. Als ich das gesehen habe, dachte ist, das ist ein sehr ernster Sicherheitsvorfall.”

Der Sicherheitsforscher vermutet, dass die Anmeldedaten, da die Authentifizierung über LDAP und Windows Active Directory erfolgt, auch für andere Firmen-Server von Facebook funktionieren. Als Beispiele nannte Tsai die Outlook Web App oder gar VPN-Zugänge. Nach eigenen Angaben hat er jedoch nicht getestet, ob sie sich für andere Server nutzen lassen.

Dass die Hacker Anmeldedaten von Facebook-Mitarbeitern erbeutet haben, zeigen allerdings die Log-Dateien. Auch sollen sie versucht haben, sich bei anderen Servern anzumelden und sogar private SSL-Schlüssel zu stehlen. “Es gab zwei Phasen, in denen das System offenbar von Hackern benutzt wurde, eine Anfang Juli und ein Mitte September”, so Tsai weiter. Im Juli sei etwa zum selben Zeitpunkt eine kritische Sicherheitslücke in der File Transfer Appliance von Accellion öffentlich gemacht worden.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.