Im Oktober 2024, Sicherheitsforscher Ben Sadeghipour analysierte gerade die Werbeplattform von Facebook, als er eine Sicherheitslücke entdeckte, die es ihm ermöglichte, Befehle auf dem internen Facebook-Server auszuführen, auf dem sich diese Plattform befand, wodurch er im Wesentlichen die Kontrolle über den Server erlangte.
Nachdem er die Sicherheitslücke dem Facebook-Besitzer Meta gemeldet hatte, deren Behebung laut Sadeghipour nur eine Stunde dauerte, zahlte ihm der Social-Networking-Riese 100.000 US-Dollar als Bug-Bounty aus.
„Ich gehe davon aus, dass Sie das Problem möglicherweise beheben möchten, da es sich direkt in Ihrer Infrastruktur befindet“, schrieb Sadeghipour in dem Bericht, den er an Meta schickte, gegenüber Tech. Meta reagierte auf seinen Bericht und forderte Sadeghipour auf, „von weiteren Tests abzusehen“, während die Schwachstelle behoben werde.
Laut Sadeghipour bestand das Problem darin, dass einer der Server, die Facebook zum Erstellen und Bereitstellen von Anzeigen nutzte, anfällig für einen zuvor behobenen Fehler im Chrome-Browser war, den Facebook in seinem Anzeigensystem verwendet. Sadeghipour sagte, dieser ungepatchte Fehler habe es ihm ermöglicht, ihn mit einem Headless-Chrome-Browser (im Wesentlichen eine Version des Browsers, den Benutzer auf dem Computerterminal ausführen) zu kapern, um direkt mit den internen Servern von Facebook zu interagieren.
Sadeghipour, der die Facebook-Schwachstelle in Zusammenarbeit mit dem unabhängigen Forscher Alex Chapman entdeckte, sagte gegenüber Tech, dass Online-Werbeplattformen interessante Ziele darstellen, weil „im Hintergrund der Erstellung dieser ‚Anzeigen‘ so viel passiert – egal, ob es sich um Videos, Text oder andere handelt.“ Bilder.“
„Aber im Kern handelt es sich um eine Menge Daten, die auf der Serverseite verarbeitet werden, und das öffnet die Tür für eine Menge Schwachstellen“, sagte Sadeghipour.
Der Forscher sagte, er habe nicht alles getestet, was er einmal auf dem Facebook-Server hätte tun können, aber „was dies gefährlich macht, ist, dass es wahrscheinlich Teil einer internen Infrastruktur war.“
„Da wir über Codeausführung verfügen, hätten wir mit jeder Site innerhalb dieser Infrastruktur interagieren können“, sagte Sadeghipour. „Mit einem [remote code execution vulnerability]können Sie einige dieser Einschränkungen umgehen und Daten auch direkt vom Server selbst und den anderen Computern abrufen, auf die er Zugriff hat.“
Meta-Sprecherin Nicole Catalano bestätigte den Eingang der Bitte von Tech um einen Kommentar, äußerte sich jedoch bei Redaktionsschluss nicht dazu.
Sadeghipour sagte auch, dass ähnliche Werbeplattformen, die andere Unternehmen betreiben und die er analysiert hat, anfällig für ähnliche Schwachstellen seien.