27.10.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Обнаружена уязвимость Facebook, позволяющая провести DDoS на заказ, абсолютно любого сайта

Полтора месяца назад, в марте этого года, исследователю безопасности под ником chr13 удалось обнаружить уязвимость в социальной сети Facebook, позволяющую использовать серверы компании для проведения DDoS-атаки. Ранее эксперту удалось найти аналогичный баг в Google, позволяющий заказать ддос и ддосить любой сайт с помощью Google Spreadsheet.

Уязвимость заключается в том, что служба Facebook Notes обрабатывает внедренные в сообщение теги img, предназначенные для прикрепления картинок. Наличие тега значит, что серверы социальной сети скачают и закэшируют хранящуюся на внешнем ресурсе картинку. При этом, по словам эксперта, в img можно добавить специфические параметры, позволяющие избежать кэширования, и спровоцировать таким образом генерирование потока HTTP GET запросов.

У chr13 получилось полностью загрузить гигабитный канал тестовой VPS. В атаке было задействовано 127 серверов Facebook. Средняя мощность DDoS-атаки составила 400 Мбит/с. Атака длилась в течение 2-3 часов. Во время повторного тестирования исследователи добились трафика 895 Мбит/с, указав в тегах 13 файлов PDF размером по 13 МБ, которые были скачаны серверами Facebook около 180 000 раз. Количество участвовавших серверов — 112.