Компания Facebook закрыла серьезный баг в протоколе Fizz — оригинальной реализации TLS с открытым исходным кодом. Эксплуатация уязвимости позволяла удаленному злоумышленнику вызвать отказ в обслуживании и приводила к сбою в работе целевой системы. Баг обнаружили ИБ-специалисты компании Semmle, применившие запросы на языке .QL для моделирования атаки.
Fizz защищает каналы передачи данных в веб-сервисах Facebook и представляет собой один из вариантов стандарта TLS 1.3. В августе прошлого года социальная сеть открыла исходный код проекта, что позволило сторонним разработчикам использовать его в своих продуктах.
Как выяснили эксперты, недостатки в реализации Fizz позволяют неавторизованному киберпреступнику удаленно инициировать бесконечный цикл, который полностью займет все ресурсы библиотеки и сделает ее недоступной для других пользователей. Баг зарегистрирован как CVE-2019-3560 и затрагивает ряд мобильных приложений Facebook, проект Proxygen и еще несколько сервисов, поддерживаемых социальной сетью. По информации разработчиков Fizz, их реализация TLS 1.3 защищает примерно половину интернет-трафика, генерируемого платформой.
Аналитики отмечают, что Fizz написан «в современном стиле C++» и не подвержен традиционным проблемам переполнения буфера, характерным для подобных проектов. Чтобы найти уязвимость и смоделировать ошибку целочисленного переполнения, ИБ-специалист Кевин Бэкхаус (Kevin Backhouse) применил язык запросов .QL, позволяющий извлекать информацию из систем управления реляционными базами данных.
Исследователи сообщили о своей находке в Facebook 20 февраля 2019 года, а уже 25 февраля вышел Fizz 2019.02.25.00, в котором уязвимости закрыли.
В данный момент все сервисы Facebook работают на обновленной версии продукта и защищены от подобных атак. Сторонним разработчикам, использующим эту библиотеку, рекомендуется незамедлительно установить апдейт.
Несмотря на то что DoS-уязвимости не входят в bug bounty социальной сети, ИБ-специалисты получили $10 тыс. за информацию об этой проблеме. Система вознаграждения этичных хакеров в Facebook — одна из самых эффективных в мире. Только в прошлом году независимые исследователи получили более $1 млн за найденные в платформе бреши. Как отмечают представители компании, общая сумма бонусов с момента запуска программы в 2011 году составила $7,5 млн.
Источник: https://threatpost.ru/facebook-patches-fizz-dos-bug/31940/