قبل البدأ، يتوجب علي شكر توم وارين من ذا فيرج . التفاصيل فيمايلي

Photo by Carl Court/Getty Images


بتاريخ 20/نوفمبر تمكنت من الوصول الى ثغرة امنية في موقع لينكدان والتي مكنتني من حقن اكواد PHP  ( بي اتش بي هي من لغات البرمجة الخاصة بتصميم صفحات الانترنت : https://ar.wikipedia.org/wiki/بي_إتش_بي )
الثغرة تكمن في عملية ادراج منشور جديد بحيث يتم استبدال صفة كود الصورة وتغييرها الى PHP بسبب  ضعف في برمجة فلاتر موقع لينكدان.
الصورة التالية توضح تغيير كود الصورة في منشور لينكدان الى ملف او رابط صفحة PHP : 
 
الصورة التالية توضح سجل عدة مستخدمين بعد تطبيق الثغرة ( تم تطبيق الثغرة على حسابات امتلكها)
Linkedin First Report Img2
 
مباشرة قمت براسلة فريق امن معلومات لينكدان, وتقديم تقرير أول حول الثغرة كان يتضمن كيفية استغلال الثغرة واين تكمن و ما تسببه من ضرر للمستخدم، حيث في البداية شمل التقرير ان اضرار الثغرة كانت من خلال جمع بيانات المستخدمين العامة من عنوان اي بي و عنوان متصفح و نظام التشغيل...الخ

 

بعدها وفي نفس اليوم حصلت على رد من موظف لينكدان اسمه سانجاي : Sanjay اخبرني انهم سوف يقومون بالتحقيق و الرجوع لاعلامي بما سيتم التوصل اليه من تحقيقات. 

تلقائيا بعد رد سانجاي, تمكنك من تحويل الثغرة لصبح اكثر خطورة على المستخدم، وذلك من خلال ادراج اكواد PHP الخاصة بعملية طلب التحقق قبل الدخول كما توضح الصورة التالية: 

مثلما توضح الصورة فان الخطورة هنا تكن في حال قام المستخدم بادراج بيانات تسجيل دخول حسابه، حيث ان الصورة السابقة تظهر تلقائيا في حال كان المستخدم لم يقم بتسجيل الدخول الى لينكدان، وتظهر بعد النقر على الصورة في حال كان المستخدم قام مسبقا بعملية تسجيل دخول الى حسابه في لينكدان، مباشرة قمت بارسال تقرير جديد الى فريق امن معلومات لينكدان يحتوي فيديو اثبات استغلالها.

في 25/نوفمبر تلقيت ردا من سانجاي اعلمني انها ليست مشكلة امنية نظرا لانها تتطلب تدخل المستخدم (النقر على الصورة) حتى يتم تفعيلها. اقتباس من رد سانجاي: 

Hi Khali, 

Thanks for reaching out to us. After careful consideration of your report, we believe this does not represent security vulnerability as it requires explicit user interaction. 

It is similar to someone sending phishing email.  Alternatively, each of the LinkedIn member can request any post to be marked as spam via using “Report this post” feature. 

That being said, if you could find a way to automatically trigger code execution on user’s browser, please write to us and we will investigate your report. 

Regards, 

Sanjay

بعد وصول رده كنت مصدوما منه، فهي فعلا ثغرة امنية تاثر على المستخدمين حتى لو تطلب ذلك النقر على الصورة، فكما نعلم يمكن خداع اي مستخدم في صورة تظهر كانها صورة مصغرة لتشغيل فيديو، و ايضا الثغرة تعمل تلقائيا لكافة مستخدمي موقع لينكدان الذين لم يقومو بعملية تسجيل الدخول الى حساباتهم. (مرفق في الاسفل فيديوهات عملية توضح استغلال الثغرة). قمت بالرد على سانجاي واعلامه بطريقة استغلالها والتاكيد انها ثغرة امنية و ارفقت له فيديوهات تثبت تطبيقها على متصفح انترنت اكسبلورر على وندوز 7 ، و فيديو اخر يثبت تطبيقها على متصفح كروم و متصفح دولفين على اجهزة الجوال. اقبتاس من ردي على سانجاي: 

 

To demonstrate this exploit follow my previous report then check the LinkedIn post from internet explorer on PC (and there is many other browsers) . also check it from chrome browser app on mobile (latest version) (and there is many other browsers).

 

anyway here is a POC videos:

-POC on PC via internet explorer: 

 

- POC on mobile via chrome (latest version), Dolphin (latest version): 

ولكن سانجاي قام بالرد مجددا انها ليست ثغرة امنية لان المستخدم يحتاج الى نسخ رابط المنشور و الدخول اليه كعنوان موقع. اقتباس من رد سانجاي:
 
 
توالت الايميلات بيني وبين سانجاي، ارسلت اليه اكثر من فيديو يوضح استغلال الثغرة بطرق مختلفة، يمكنكم الاطلاع على المراسلات من البداية الى النهاية (بالانجليزية) على الرابط التالي :
ثلاث اسابيع من المراسلات ولم يعترف بها فريق امن لينكدان بانها ثغرة امنية، الامر الذي ادى الى شعوري باليأس من هذا التصرف والتفكير في منحنى اخر، لذلك قمت بمراسلة موقعين عربيين اولا (لم يتم الرد حينها) وموقعين اجنبيين اخرين، حيث وصلني رد من توم وورين الذي يعمل في ذا فيرج، طلب مني بعد معرفة التفاصيل ان اطبقها على متصفح سافاري لاجهزة الماك ان كانت تعمل ام لا، فعلا قمت بتطبيقها على الماك وكانت النتيجة انها تعمل، قمت بارسال الفيديو التالي يثبت العملية :   https://youtu.be/zIj8pBiMlWo
بعدها اعلمني توم انها تعمل على متصفح ايدج التابع لميكروسوفت ايضا. حينها قام بالاتصال مع موظفين رفيعي المستوى في شركة ميكروسوفت ( شركة ميكروسوفت قامت بشراء شركة لينكدان عام 2016 بصفقة بلغت 26.2 مليار دولار) 
واعلمني توم حينها انهم سوف يمهلون الشركة 24-28 ساعة قبل عملية النشر لان الثغرة مازالت غير معالجة. فعلا في اقل من 24 ساعة وصلني رد من سانجاي يخبرني انهم بعد القاء نظرة اخرى تبين انها ثغرة امنية وهم في صدد معالجتها. بعدها بيوم وصلني رد من سانجاي مجددا يعلمني انهم قامو بمعالجتها و طلب مني التاكد انه تم معالجتها بشكل سليم . اقتباس من رد سانجاي: 
 

Hi Khalil,

We have confirmed that this issue has now been resolved. Please test it at your end and let us know if your results vary. 

We appreciate your efforts to notify us about this issue and want to thank you for helping us to protect LinkedIn members.  

Regards,

Sanjay

موضوع غريب ؟!! تم رفضها خلال 3 اسابيع من النقاش و الاثباتات وبعدها تم اعتمادها بمجرد مراسلة الصحافة؟! اخبرت توم وقتها ان السبب هو "قوة الاعلام" :) . 
 
يمكنكم الاطلاع على مقالة توم في موقع ذا فيرج من خلال زيارة الرابط التالي :  https://www.theverge.com/2017/12/15/16776176/linkedin-security-flaw-security-khalil-shreateh
 
 
وهذه هي جميع الفيديوهات التي قمت بارسالها الى فريق امن معلومات لينكدان : 
استغلال الثغرة على متصفح فيرفوكس كوانتوم الجديد : https://youtu.be/EgIJ3WvWMhk

POC #3: https://youtu.be/WEie-Tpgz4E

POC #2: https://youtu.be/IKvbPf1KXV0

POC #1: https://youtu.be/cCX7mhcG5BY

 
 
ما هو رايكم؟ هل تصرف شركة لينكدان كان صحيح؟ ام ان هنالك شيئ اخر كان يجب ان اقوم به؟!