Yahoo винагородила дослідника за експлуатацію вразливості ImageTragick

20 квітня 2017, 01:43 | Технології
фото з InternetUA
Розмір тексту:

Незалежний дослідник Бехруз Садегхіпур (Behrouz Sadeghipour) заробив $ 2000, атакувавши вразливість ImageTragick на одному з доменів, що належать компанії Yahoo. По суті, дослідник отримав грошову винагороду за те, що просто привернув увагу Yahoo до проблеми.

Нагадаю, що раніше, на початку травня 2016 року було знайдено низку небезпечних вразливостей в пакеті ImageMagick, який є основою для безлічі бібліотек обробки зображень і модулів. Найбільшою проблемою стала вразливість CVE-2016-3714: 0-day, що дозволяє віддалене виконання довільного коду. Для атаки досить завантажити на вразливий сервер змінену спеціальним чином картинку. Багу дали назву ImageTragick.

Експерти, що знайшли пролом, відразу ж заявили, що проблему вже експлуатують зловмисники. Трохи пізніше їх слова підтвердили дослідники компаній CloudFlare і Sucuri, більш детально вивчили експлоїти для ImageTragick і механізми їх роботи.

Здавалося б, на проблемі, відомої з початку травня, для якої представлені різні PoC і докладні звіти, не можна заробити грошей. Але Бехруз Садегхіпур довів, що це не так.

Дослідник виявив, що один з сервісів компанії Yahoo вразливий перед проблемою ImageTragick. Мова про сервіс Polyvore - соціальної комерційної платформі, яка дозволяє користувачам створювати особисті колажі з одягу, взуття, аксесуарів, прикрас, косметики, предметів побуту та інтер'єру. Yahoo придбала Polyvore в 2015 році.

Так як Polyvore дозволяє користувачам завантажувати власні зображення для свого профілю, ресурс виявився вразливий перед проблемою ImageTragick. Садегхіпуру залишилося лише завантажити на сервер proof-of-concept картинку, продемонструвавши роботу бага і виконання довільного коду на стороні сервера.

Дослідник повідомив Yahoo про проблему 4 травня 2016 роки (при цьому інформація про ImageTragick була оприлюднена 3 травня). Компанія оперативно виправила проблему, витративши на це всього три години.

Так як Polyvore недавно був доданий в число сервісів, які беруть участь в bug bounty програмі Yahoo, Садегхіпур отримав за свою знахідку $ 2000..

Сам дослідник вважає, що йому повинні заплатити навіть більше, з огляду на небезпеку бага і рівень доступу, який той дозволяв отримати. Представники Yahoo обтічно відповідають, що розмір винагороди кожного разу визначається окремо, враховуючи глибину вразливості і серйозність від наслідків її експлуатації. ЗМІ, тим часом, дивуються, як Садегхіпур взагалі зумів отримати bug bounty, просто вказавши Yahoo на знайдену іншими експертами глобальну проблему.




Додати коментар
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введіть вірну відповідь