Il ricercatore brasiliano Reginaldo Silva è stato ricompensato con la più alta “taglia” mai elargita fino ad oggi per aver scoperto e riportato un bug nell’applicazione social più usata al mondo: Facebook. Il bug è molto serio ed è stato classificato come potenziale RCE (remote code execution) in grado quindi di far eseguire codice a piacimento sui server di Facebook da parte di chi lo sfrutta. Il bug è stato trovato da Silva nella pagina di recupero delle credenziali di login, in uno specifico componente chiamato OpenID, attenzione quindi a chi fa uso di questo software nelle proprie applicazioni!

A detta di Silva, la causa del bug è addirittura datata indietro al 2012, quando lo stesso Silva aveva scoperto una vulnerabilità in PHP che permetteva di modificare gli XML di risposta alla pagine web con codice malevolo inserito a piacimento. Ricercando poi parti di Facebook che usassero questa funzionalità, il ricercatore  arrivato alla pagina “Password dimenticata?”, la quale genera una richiesta a “https://www.facebook.com/openid/receiver.php”: da qui il ricercatore ha capito di poter sfruttare il suo precedente lavoro e ha proseguito l’indagine, arrivando ad ottenere il file “/etc/passwd” di uno dei server.

Dopo aver riportato il suo lavoro al team di sicurezza di Facebook una patch è stata messa online in 3 ore e mezza (annuncio qui) e Reginaldo Silva ha ricevuto oltre ai complementi del team per la sua scoperta una lauta ricompensa di 33500 dollari.

Link per l’analisi completa della vulnerabilità qui.

Francesco Gualazzi