Güvenlik araştırmacıları, Meta’nın Conversions API Gateway’inde, saldırganların Facebook hesaplarını herhangi bir kullanıcı etkileşimi olmadan büyük ölçekte ele geçirmesine olanak verebilecek iki kritik siteler arası komut dosyası çalıştırma (XSS) güvenlik açığını ortaya çıkardı.
Kusurlar, facebook.com ve meta.com dahil olmak üzere Meta’ya ait alan adlarının yanı sıra açık kaynak ağ geçidi altyapısının potansiyel olarak 100 milyon üçüncü taraf dağıtımını da etkiliyor.
Dönüşümler API Ağ Geçidini Anlamak
Meta Conversions API Gateway, işletmelerin web olaylarını ve müşteri etkileşimi verilerini doğrudan Meta’nın reklam platformlarına iletmesine olanak tanıyan sunucu tarafı bir çözümdür.
Facebook Pixel gibi geleneksel tarayıcı tabanlı izleme yöntemlerinden farklı olarak bu ağ geçidi, sunucu düzeyinde çalışarak çerez kısıtlamalarını ve reklam engelleyicileri atlar.
Meta, teknolojiyi hem gw.conversionsapigateway.com’da barındırılan bir hizmet olarak hem de şirketlerin kendi altyapılarında dağıtabilecekleri açık kaynaklı konteynerli yazılım olarak sağlıyor.
Ağ geçidi, dönüşüm izlemeyi desteklemek için kritik bir JavaScript dosyası olan capig-events.js’yi sunar.
Bu komut dosyası Meta mülklerinde ve binlerce üçüncü taraf web sitesinde otomatik olarak yürütülür ve içindeki herhangi bir güvenlik açığını tedarik zinciri açısından son derece tehlikeli hale getirir.
İlk kusur, istemci tarafı capig-events.js betiğinde mevcut ve postMessage kaynaklarının hatalı şekilde doğrulanmasından kaynaklanıyor.
Bir sayfada bir açılış penceresi olduğunda, komut dosyası IWL_BOOTSTRAP etiketli yapılandırma mesajlarını dinler. Kod, mesaj kaynağını bir izin verilenler listesine göre doğrulamak yerine, körü körüne olaya güvenir: kaynak değeri ve onu daha sonra kullanmak üzere saklar.
Bu güvenilir kaynak daha sonra saldırganın kontrolündeki etki alanından başka bir JavaScript dosyasını (iwl.js) dinamik olarak yüklemek için kullanılır.
Meta’nın İçerik Güvenliği Politikası (CSP) ve Kaynaklar Arası Açıcı Politikası (COOP) koruma sağlıyor gibi görünse de araştırmacılar birden fazla bypass tekniği keşfetti.
/help/ dizini altındaki oturum kapatılmış Meta sayfalarında, CSP politikaları üçüncü taraf analiz alanlarına izin verecek şekilde gevşetilir.
CSP’nin izin verdiği herhangi bir etki alanındaki bir alt etki alanının ele geçirilmesi veya güvenlik açığı, saldırganların kötü amaçlı komut dosyaları barındırmasına olanak tanır.
Ek olarak, Facebook’un Android WebView ortamında araştırmacılar, kötü amaçlı postMessage’ı iletmek için window.name’in yeniden kullanımından iframe ele geçirmeyle birlikte yararlandı.
Bu çok adımlı saldırı zinciri sonuçta meta.com bağlamında rastgele JavaScript yürütülmesine olanak tanıyarak, saldırganların CSRF belirteçlerini çalmasına ve e-posta adreslerini değiştirme ve hesabı tamamen ele geçirme dahil olmak üzere ayrıcalıklı işlemler gerçekleştirmesine olanak tanır.
| Güvenlik Açığı Türü | Etkilenen Bileşen |
|---|---|
| İstemci Tarafı XSS (Uygunsuz Kaynak Doğrulaması) | capig-events.js |
| Saklanan XSS (Güvenli Olmayan Dize Birleştirme) | Ağ Geçidi Arka Uç (IWL Yapılandırması) |
İkinci ve daha ciddi güvenlik açığı ağ geçidinin arka uç kodunda bulunmaktadır.
İşletmeler, Meta’nın IWL (Akıllı Web Günlüğü) yapılandırma aracı aracılığıyla etkinlik eşleştirme kuralları oluşturduğunda, arka uç, kullanıcı tarafından sağlanan değerleri uygun şekilde temizlemeden veya kaçmadan birleştirerek capig-events.js’nin bölümlerini oluşturur.
Herkese açık kaynak kodun analizi, Java dosyalarında API isteklerinden gelen JSON anahtarlarının doğrudan JavaScript çıktısına birleştirildiği güvenli olmayan dize birleştirme işlemini ortaya çıkardı.
Saldırganlar, tırnak işaretleri ve parantez gibi karakterleri enjekte ederek dize bağlamından kaçabilir ve tüm kullanıcılara sunulan capig-events.js dosyasına doğrudan rastgele JavaScript kodu ekleyebilir.
Saklanan bu XSS güvenlik açığı özellikle yıkıcıdır çünkü bireysel kullanıcıların kandırılmasını gerektirmez.
Güvenlik Araştırmacısı Youssef Sammouda’nın bildirdiğine göre, enjekte edildikten sonra, kötü amaçlı veri yükü, güvenliği ihlal edilmiş komut dosyasını Meta etki alanlarında ve kimliği doğrulanmış Facebook oturumlarında yükleyen her ziyaretçi için otomatik olarak yürütülür.
Conversions API Gateway açık kaynaklı bir teknoloji olduğundan, güvenlik açığı Meta’nın altyapısının çok ötesine uzanıyor.
Dünya çapındaki kuruluşlar ağ geçidini kendi etki alanlarında en az 100 milyon kez konuşlandırdı ve aynı depolanmış XSS zayıflığını miras aldı.
Tedarik zincirindeki bu güvenlik açığı, saldırganların birkaç saat içinde sayısız web sitesindeki milyonlarca kullanıcının herhangi bir etkileşim veya uyarı olmaksızın sessizce tehlikeye atabileceği anlamına geliyordu.
Her iki kusur da temel bir güvenlik ilkesini vurgulamaktadır: Analitik altyapısı, ürünler, alanlar ve müşteriler arasında paylaşılan, güvenilir JavaScript olarak çalıştığında düşük riskli kod olarak değerlendirilemez.
Bu tür sistemlerdeki küçük güven sınırı arızaları, platform çapında güvenlik felaketlerine yol açabilir; bu da, modern web platformları için katı kaynak doğrulamanın, savunma amaçlı CSP tasarımının ve güvenli kod oluşturma uygulamalarının önemini vurgular.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.