Охотник за ошибками Андрей Леонов утверждает, что Facebook назначил ему вознаграждение в размере 40 000 долларов за получение удаленного выполнения кода на своих серверах с использованием бреши ImageMagick.
Прежде всего, позвольте мне рассказать вам об ImageMagick, это бесплатный программный пакет с открытым исходным кодом для отображения, преобразования и редактирования файлов растровых и векторных изображений. Он может читать и записывать более 200 форматов файлов изображений.
Как сообщает The Register, в конце 1 апреля 2016 года в ImageMagick была обнаружена уязвимость, из-за которой злоумышленники могли злоупотреблять этими инструментами. загружать вредоносные изображения, которые обеспечивают удаленное выполнение кода, откуда могут быть подвергнуты дальнейшая компрометация, кража данных и боковое перемещение. возможный.
Теперь похоже, что хакер добился удаленного выполнения кода на своих серверах, используя этот недостаток ImageMagick. Андрей Леонов поделился записью в блоге, в которой рассказал, как он научился удаленному выполнению кода на сервере Facebook, используя уязвимость.
Хакер отдал все подробности, за исключением уязвимого эксплойта для проверки концепции. Хакеры утверждают, что он обнаружил брешь случайно, когда другой сервис в Facebook перенаправил его, тогда он решил посмотреть, осталась ли брешь в ImageMagick не исправленной.
@Facebook#ImageTragick удаленное выполнение кода https://t.co/Rk3Qtax3ZD#RCE#BugBounty
- Андрей Леонов (@ 4lemon) 17 января 2017 г.
«Для полного доказательства того, что эксплойт работает, я предоставил команде безопасности Facebook результат вывода cat / proc / version, который не будет публиковаться здесь»
Андрей Леонов сказал: «Однажды в субботу в октябре я тестировал какой-то большой сервис (не Facebook), когда за мной последовали редиректы на Facebook. Это был диалог «Поделиться в Facebook» »,
«Я рад быть одним из тех, кто сломал Facebook». Андрей Леонов утверждает, что получил вознаграждение в размере 40 000 долларов от Facebook, что выглядит как самая высокая сумма вознаграждения, выплачиваемая Facebook. Андрей Леонов сообщил об уязвимости 16 октября 2016 года, а награду получил 28 октября 2016 года.
так что ты думаешь об этом? Поделитесь своим мнением в поле для комментариев ниже.