Im Oktober 2024, Sicherheitsforscher Ben Sadeghipour analysierte gerade die Werbeplattform von Facebook, als er eine Sicherheitslücke entdeckte, die es ihm ermöglichte, Befehle auf dem internen Facebook-Server auszuführen, auf dem sich diese Plattform befand, wodurch er im Wesentlichen die Kontrolle über den Server erlangte.
Nachdem er die Sicherheitslücke dem Facebook-Besitzer Meta gemeldet hatte, deren Behebung laut Sadeghipour nur eine Stunde dauerte, setzte ihm der Social-Media-Riese ein Bug-Bounty in Höhe von 100.000 US-Dollar zu.
„Ich gehe davon aus, dass Sie das Problem vielleicht beheben möchten, weil es sich direkt in Ihrer Infrastruktur befindet“, schrieb Sadeghipour in dem Bericht, den er an Meta schickte, gegenüber TechCrunch. Meta antwortete auf seinen Bericht und forderte Sadeghipour auf, „von weiteren Tests abzusehen“, während die Schwachstelle behoben werde.
Laut Sadeghipour bestand das Problem darin, dass einer der Server, die Facebook zum Erstellen und Ausliefern von Anzeigen nutzte, anfällig für einen zuvor behobenen Fehler im Chrome-Browser war, den Facebook in seinem Anzeigensystem verwendet. Sadeghipour sagte, dieser ungepatchte Fehler habe es ihm ermöglicht, ihn mit einem Headless-Chrome-Browser (im Wesentlichen eine Version des Browsers, den Benutzer auf ihrem Computerterminal ausführen) zu kapern, um direkt mit den internen Servern von Facebook zu interagieren.
Sadeghipour, der die Facebook-Schwachstelle in Zusammenarbeit mit dem unabhängigen Forscher Alex Chapman entdeckte, sagte gegenüber TechCrunch, dass Online-Werbeplattformen interessante Ziele seien, weil „bei der Erstellung dieser ‚Anzeigen‘ viel passiert – egal, ob es sich um Videos, Texte oder Bilder handelt.“ ”
„Aber das Herzstück all dessen ist die Verarbeitung vieler Daten auf der Serverseite, und das öffnet die Tür zu einer Reihe von Schwachstellen“, sagte Sadeghipour.
Der Forscher sagte, er habe nicht alles getestet, was er einmal auf dem Facebook-Server hätte tun können, aber „was es gefährlich macht, ist, dass es wahrscheinlich Teil einer internen Infrastruktur war.“
„Da wir über Codeausführung verfügen, hätten wir mit jeder Site in dieser Infrastruktur interagieren können“, sagte Sadeghipour. „Gemeinsam (Remote-Codeausführung Sicherheitslücke) können Sie einige dieser Einschränkungen umgehen und Dinge auch direkt vom Server selbst und anderen Computern extrahieren, auf die er Zugriff hat.“
Meta-Sprecherin Nicole Catalano bestätigte den Eingang der Bitte von TechCrunch um einen Kommentar, äußerte sich jedoch zum Zeitpunkt der Drucklegung noch nicht dazu.
Sadeghipour sagte auch, dass ähnliche von anderen Unternehmen betriebene und von ihm analysierte Werbeplattformen anfällig für ähnliche Schwachstellen seien.
