- 14,801
- 22
- 8 Ноя 2022
Как реклама открыла двери к серверам Meta.
В октябре 2024 года исследователь кибербезопасности Бен Садегипур выявил уязвимость в рекламной платформе Facebook*, которая позволила выполнять команды на внутреннем сервере компании. Ошибка фактически предоставила полный контроль над сервером.
Садегипур сообщил об уязвимости Meta*, которая устранила проблему всего за час. В качестве вознаграждения специалисту было выплачено $100 000 в рамках программы Bug Bounty. В своём отчёте для Meta Садегипур подчеркнул, что проблема требует немедленного решения, поскольку связана с внутренней инфраструктурой компании. Meta оперативно отреагировала и попросила исследователя воздержаться от дальнейших тестов до завершения исправлений.
Причиной уязвимости стал ранее исправленный недостаток в браузере Chrome, который используется в системе создания и доставки рекламы Facebook . Садегипур отметил, что ошибка позволяла использовать безголовый браузер Chrome ( Headless browser ) для взаимодействия с внутренними серверами Facebook.
Работая совместно с другим независимым исследователем, Алексом Чепменом, Садегипур Для просмотра ссылки Войдиили Зарегистрируйся что рекламные платформы часто становятся целью атак из-за сложной обработки данных на стороне серверов. Такие процессы, как создание и управление видео, текстовыми и графическими рекламными материалами, могут открыть множество уязвимостей.
Садегипур признал, что не тестировал все возможные сценарии эксплуатации, но отметил высокую степень риска. Уязвимость позволяла получить доступ не только к отдельному серверу, но и к другим связанным ресурсам инфраструктуры. Благодаря удалённому выполнению кода (Remote Code Execution, RCE) злоумышленники могли бы обойти ограничения системы и получить доступ к данным с других серверов.
По словам исследователя, аналогичные уязвимости могут быть обнаружены и в рекламных платформах других компаний, что делает проблему ещё более актуальной. На момент публикации Meta отказалась от комментариев, подтвердив только получение запроса от журналистов.
<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
В октябре 2024 года исследователь кибербезопасности Бен Садегипур выявил уязвимость в рекламной платформе Facebook*, которая позволила выполнять команды на внутреннем сервере компании. Ошибка фактически предоставила полный контроль над сервером.
Садегипур сообщил об уязвимости Meta*, которая устранила проблему всего за час. В качестве вознаграждения специалисту было выплачено $100 000 в рамках программы Bug Bounty. В своём отчёте для Meta Садегипур подчеркнул, что проблема требует немедленного решения, поскольку связана с внутренней инфраструктурой компании. Meta оперативно отреагировала и попросила исследователя воздержаться от дальнейших тестов до завершения исправлений.
Причиной уязвимости стал ранее исправленный недостаток в браузере Chrome, который используется в системе создания и доставки рекламы Facebook . Садегипур отметил, что ошибка позволяла использовать безголовый браузер Chrome ( Headless browser ) для взаимодействия с внутренними серверами Facebook.
Работая совместно с другим независимым исследователем, Алексом Чепменом, Садегипур Для просмотра ссылки Войди
Садегипур признал, что не тестировал все возможные сценарии эксплуатации, но отметил высокую степень риска. Уязвимость позволяла получить доступ не только к отдельному серверу, но и к другим связанным ресурсам инфраструктуры. Благодаря удалённому выполнению кода (Remote Code Execution, RCE) злоумышленники могли бы обойти ограничения системы и получить доступ к данным с других серверов.
По словам исследователя, аналогичные уязвимости могут быть обнаружены и в рекламных платформах других компаний, что делает проблему ещё более актуальной. На момент публикации Meta отказалась от комментариев, подтвердив только получение запроса от журналистов.
<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
- Источник новости
- www.securitylab.ru
