2024-03-29 09:00 (금)
페이스북 근무자 패스워드에 접근하는 백도어 발견
상태바
페이스북 근무자 패스워드에 접근하는 백도어 발견
  • 길민권
  • 승인 2016.04.25 13:50
이 기사를 공유합니다

원격코드 실행이 가능한 SQL인젝션을 포함하는 몇몇 취약점 찾아내
지난 2월 버그바운티로 1만달러의 보상을 받은 대만의 보안연구원인 Orange Tsai는 페이스북 서버에 존재하는 불법 코드에 대한 그의 발견에 대해 리포트를 내놓았다.
 
Devcore의 컨설턴트인 그는 원격 공격자가 페이스북 근로자의 이메일과 공유 파일에 접근하기 위해 사용했던 패스워드에 대한 접근을 할 수 있는 악성코드를 발견했다고 말했다.
 
페이스북 서버는 Accellion의 웹기반 보안 파일 전송 서비스를 사용하고 있었다. 이 어플리케이션은 페이스북과 같은 큰 회사에서 많이 사용되고 있는데, 이전에 큰 보안문제가 발견되기도 했었다.
 
이것이 연구원의 관심을 끌어내었고 그는 파일 전송 어플리케이션의 잠재적 취약점을 찾으려고 노력했다. 그는 마침내 원격코드 실행이 가능한 SQL인젝션을 포함하는 몇몇 취약점을 찾아내었다. Orange Tsai는 페이스북 서버에 접근한 후 웹서버 로그파일을 보았고 비정상적인 트래픽 패턴을 통해 악성코드를 찾아낼 수 있었다.
 
페이스북 Reginaldo는 ”사고 대응 후 우리는 Orange가 탐지한 행위가 버그바운티에 참여한 다른 연구원으로부터 온 것이라고 판단을 내렸다. 그것은 우리 기간망의 다른 부분을 공격할 수는 없다. 두 명의 유능한 연구자가 시스템에 접근했고, 그 중 한 명은 그가 찾은 것을 보고해 보상까지 받았고, 그들 중 누구도 권한 상승을 하지는 못했으므로 모두가 승자이다”라고 말했다.
 
이 상황은 작년에 있었던 페이스북 측에서 보안연구원 Wesley Wineberg에게 취약점에 대한 비윤리적 익스플로잇에 대한 책임을 물었던 사건을 떠올리게 한다.
 
Wineberg는 “이 연구원은 내가 했던 것과 정확히 같은 것을 한 것이다. 다만 페이스북 측이 연구자들이 이러한 방식으로 권한 상승 익스플로잇 하는 것을 명시적으로 금지하는 정책으로 업데이트했던 것이다”라고 알려왔다.
 
그는 예전 사건을 통해 페이스북 측이 “어떻게 연구원들과 거래를 해야 하는지”에 대해 알게 되었다고 전해왔다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 페소아(fesoa) 외신기자>
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★