Foi recentemente descoberta uma falha no sistema de Notas do Facebook que possibilita a qualquer utilizador explorar o sistema do Facebook para enviar ataques DDoS em larga escala.
A descoberta foi realizada pelo investigador de segurança, com o nickname “chr13”, tendo sido partilhada no seu blog. De acordo com o investigador, a funcionalidade de “Notas” do Facebook pode ser explorada para iniciar um ataque DDoS contra servidores terceiros.
De acordo com chr13, quando um utilizador inclui numa nota o código para aplicar uma imagem, pdf ou vídeo, o Facebook realiza uma ligação a esse link, realizando igualmente o download do conteúdo no servidor de origem. Em casos regulares, esta funcionalidade deveria ser utilizada para cache.
No entanto, quando aplicada uma variável dinâmica e aleatória, podem ser efetuadas várias ligações ao mesmo ficheiro, sendo que todas essas ligações irão ser realizadas pelos servidores do Facebook quando a nota for aberta.
Um dos exemplos de códigos que podem ser explorados serão as tags “img”, utilizadas para apresentar imagens. Com estas os utilizadores poderão aplicar variáveis aleatórias e explorar a falha do Facebook para realizarem um ataque DDoS.
Num exemplo apresentado pelo investigador, com apenas uma imagem de 1MB e o código a ser reproduzido 1000 vezes por 100 utilizadores, pode-se criar um volume de requisições contra um servidor de quase 98 GB de largura de banda. Isto poderá facilmente sobrelotar a capacidade de largura de banda do servidor e tornar o mesmo inacessível.
O investigador exemplificou igualmente a falha do Facebook contra um dos seus servidores, tendo conseguido criar, com poucas linhas de códigos e na questão de minutos, tráfego na ordem dos 400 Mbps, tendo sido utilizados 127 servidores do próprio Facebook.
Os danos podem ser substancialmente superiores se tivermos em conta que a falha pode ser explorada para ficheiros com um tamanho mais elevado, como ficheiros de vídeo e PDF’s.
Tendo em conta que as Notas no Facebook podem ser criadas sem qualquer tipo de verificação (como captchas), podem ser facilmente criados sistemas automáticos e scripts para executar esta tarefa. O investigador também utilizou este método para criar e abrir múltiplas notas.
Neste teste, o investigador criou um pequeno script para criar automaticamente notas que, explorando a falha, iriam descarregar um ficheiro PDF de 13MB. No final foi conseguido um ataque na ordem dos 900Mbps, com mais de 180,000 downloads realizados por 112 servidores do próprio Facebook.
No entanto, teoricamente, o ataque poderia ser bastante superior, uma vez que o teste realizado pelo investigador foi sobre um servidor do próprio com uma porta de 1 Gbps partilhada. Com a exploração da falha, o ataque pode afetar múltiplos servidores e o único limite seria a largura de banda dos servidores do Facebook, o que será nas várias centenas de Gbps.
Em resposta a esta falha, e depois de a mesma ter sido enviada pelo investigador para a equipa da rede social, o Facebook revela que não existe forma de contornar a falha, pelo que não irá ser resolvida.
Continuar a ler