Alaa Abdulridha é um pesquisador, estudante de engenharia de computação da Universidade da cidade de Kharkiv, na Ucrania, ele publicou em seu blog a informação que ganhou um prémio de US$ 54.800 do programa de recompensada (bug bounty) do Facebook por descobrir e informado a falha que dava acesso à rede interna da empresa. No ano de 2020 Alaa já havia ganhado uma recompensa do Facebook de US$7.500 por descobrir uma vulnerabilidade na API de um serviço aparentemente utilizado pelo departamento jurídico da empresa: a falha de dezembro podia ter sido mais explorada para redefinir a senha de qualquer conta para um aplicativo da web usando internamente por funcionários do Facebook, disse Alaa.
Na sua postagem, em seu blog no dia 18 de março de 2021, uma quinta-feira o pesquisador disse que continuou analisando o mesmo aplicativo e mais uma vez conseguiu, acessa-lo, mas dessa vez de uma forma diferente, manipulando os dados dos cookies. Onde ele afirmou que a partir desse acesso é capaz de conseguir lançar um ataque de falsificação de solicitação pelo lado do servidor (SSRF ou server side requst forgery) e obter acesso à rede interna do Facebook. O Facebook descreveu isso como “um invasor capaz de enviar solicitações HTTP para sistemas internos e ler suas respostas”.
O abdulridha mostrou no post a correspondência que recebeu do Facebook agradecendo sua descoberta e notificando o recebimento do prémio.
“Pude escanear as portas dos servidores locais e navegar nos aplicativos locais / aplicativos da web que a empresa usa em sua infraestrutura”, disse no blog . “Tenho certeza de que essa vulnerabilidade nas mãos erradas pode ser escalada para RCE e pode representar um grande risco para a empresa e seus clientes”.
O pesquisador disse que conseguiu o acesso encadeando duas vulnerabilidades até conseguir chegar ao ponto de acesso à rede interna do Facebook. Alaa Abdulridha disse no seu blog que esse tipo de acesso permitia:
- Acessar qualquer conta de funcionário do Facebook no painel do departamento jurídico
- Acessar a rede interna do Facebook (intern.our.facebook.com)
- Talvez escalar essa vulnerabilidade e usá-la para fazer a varredura da rede e de servidores internos
Afirmou,“Todos nós sabemos o quão crítico é o SSRF, especialmente por não ter limite de velocidade de acesso”.
