Sponsored Contents

backdoorの最新記事

Image credit:
Save

Facebookの社内サーバーからフルアクセス許すバックドアが見つかる。発見したセキュリティ業者は報奨金1万ドル獲得

Munenori Taniguchi, @mu_taniguchi
2016年4月25日, 午後07:30 in Backdoor
182シェア
0
182
0

連載

注目記事

折りたたみスマホ Galaxy Fold レビュー。ガチ勢専用の高コスト可変機
12

折りたたみスマホ Galaxy Fold レビュー。ガチ勢専用の高コスト可変機

Ittousai, 10月11日
View
iPhone 11 / Pro / Maxレビュー。「11以降」と旧型を分ける超広角カメラ標準化とAR・機械学習の関係

iPhone 11 / Pro / Maxレビュー。「11以降」と旧型を分ける超広角カメラ標準化とAR・機械学習の関係

Ittousai, 9月20日
View
Facebookの社内サーバーにバックドアが仕掛けられていたと、台湾のセキュリティコンサルティングチームDEVCOREが伝えています。と言っても我々がアクセスするFacebookのサービス用サーバーではなく、社内用のサーバーの話です。

オレンジ・ツァイは、Facebookの社内ネットワークをスキャンしている最中、ファイルサーバーのひとつで稼働していたAccellionのセキュアファイル転送システムに脆弱性があることを知りました。そして、そのシステムにクロスサイトスクリプティングに関する脆弱性を3つ、リモートコード実行の脆弱性、ローカルの特権エスカレーション脆弱性を2つずつ発見し、それらの脆弱性を使ってFacebookの社内サーバーにアクセスできることを確認しました。

ツァイは、バグレポートを作成するためにそのサーバーのアクセスログを確認したところ、そこにバックドアと見られれるphpベースのスクリプトが設置してあるのに気づきました。これは一般的に php web shell と呼ばれるもので、悪質なものだと外部から自由にサーバーを操れる可能性もあります。

そしてすぐにFacebookのセキュリティチームにそのことを報告、より詳細な問題確認を実行し、そのバックドアを使えば従業員のメールへのアクセスや、社内向けのVPNへのアクセスも可能だったことを突き止めました。

ツァイはすぐにFacebookのセキュリティチームに報告し、バックドアを除去しすべての脆弱性を取り除くことを任せられました。そして、Facebookのポリシーにもとづき、脆弱性を発見した功績として1万ドルの報奨金を受け取ったとのこと。現在はすべての問題が取り除かれています。

ツァイはセキュリティコンサルタントとして Facebook 社内のシステムにアクセスして脆弱性をみつけましたが、Facebookは一般ユーザーがアクセスする自社のシステム()に対しても、セキュリティ脆弱性を発見した人に対し報奨金を出す方針をとっています。この3月にはFacebookのベータテストサーバーであらゆるユーザーアカウントを乗っ取れる脆弱性が発見され、発見者は1万5000ドルの報奨金を得ていました。

[Image : AP Photo/Jeff Chiu]




「TechCrunch Tokyo 2019」11月14日、15日に開催



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

182シェア
0
182
0

Sponsored Contents