Investigador hackeó Facebook explotando fallas en MobileIron MDM

El investigador hackeó Facebook después de identificar y explotar el RCE no autenticado en la gestión de dispositivos móviles (MDM) de MobileIron utilizada por los empleados de la empresa.

Orange Tsai de DEVCORE encontró a Facebook vulnerable a ataques críticos debido a una falla en MobileIron. Para su información, MobileIron es un sistema de administración de dispositivos móviles (MDM) utilizado por el gigante de las redes sociales para controlar los dispositivos corporativos de los empleados.

El investigador identificó 3 vulnerabilidades centradas en permitir a los atacantes participar en:

  • Lectura arbitraria de archivos – CVE-2020-15507
  • Ejecución remota de código (RCE) – CVE-2020-15505
  • Eludir las medidas de autenticación implementadas de forma remota – CVE-2020-15506.

Todo esto se informó a MobileIron en marzo y la compañía lanzó un parche el 15 de junio de 2020. Sin embargo, dado que es uno de los MDM más utilizados con casi 20,000 compañías en su haber, era esencial para ver qué tan rápido adoptan el parche estas empresas usuarias.