O caçador de bugs, Andrey Leonov, afirma que o Facebook lhe deu $ 40.000 de recompensa por bugs por obter a execução remota de código em seus servidores usando a falha do ImageMagick.
O Facebook pagou uma recompensa de $ 40.000 por este hacker!
Em primeiro lugar, deixe-me falar sobre o ImageMagick, é um pacote de software gratuito e de código aberto para exibir, converter e editar imagens raster e arquivos de imagens vetoriais. Ele pode ler e gravar mais de 200 formatos de arquivo de imagem.
Conforme relatado pelo The Register, uma falha no ImageMagick foi encontrada no final de 1 de abril de 2016, na qual as ferramentas podem ser utilizadas para permitir que os invasores carreguem imagens maliciosas que garantem a execução remota de código de onde muitos comprometem ainda mais, exfiltração de dados e movimento lateral pode ser possível.
Agora parece que um hacker obteve a execução remota de código em seus servidores usando aquela falha do ImageMagick. Andrey Leonov compartilhou uma postagem de blog no qual ele revelou como ele aprendeu a execução remota de código no servidor do Facebook usando a falha.
O hacker deu todos os detalhes, exceto o exploit de prova de conceito sensível. Os hackers afirmam que ele descobriu a falha acidentalmente quando outro serviço do Facebook o redirecionou, então ele decidiu verificar se a falha do ImageMagick não foi corrigida.
@Facebook #ImageTragick execução remota de código https://t.co/Rk3Qtax3ZD #RCE #BugBounty
– Andrew Leonov (@ 4lemon) 17 de janeiro de 2017
“Para uma prova completa de que o exploit funciona, forneci à equipe de segurança do Facebook o resultado da saída cat / proc / version que não vai publicar aqui”
Andrey Leonov disse: “Era uma vez, no sábado de outubro, eu estava testando um grande serviço (não o Facebook) quando um redirecionamento me seguiu no Facebook. Era uma caixa de diálogo «Compartilhar no Facebook», ”
“Fico feliz por ser aquele que quebrou o Facebook”. Andrey Leonov afirma que recebeu uma recompensa de $ 40.000 do Facebook, que parece ser a quantia mais alta de recompensa paga pelo Facebook. Andrey Leonov relatou a vulnerabilidade em 16 de 1º de outubro de 2016 e recebeu a recompensa em 28 de outubro de 2016.
Então, o que você pensa sobre isso? Compartilhe suas opiniões na caixa de comentários abaixo.
0 Comments