18 ene 2017

USD 40.000 por una vulnerabilidad en Facebook e ImageMagick

Un investigador recibió de Facebook una recompensa de U$S 40.000 por encontrar una vulnerabilidad de ejecución de código remoto (RCE) introducido por la suite de procesamiento de imágenes ImageMagick.

La vulnerabilidad identificada como CVE-2016-3714, y apodada ImageTragick, se dio a conocer en mayo de 2016. Como ImageMagick es utilizado por varios plugins de tratamiento de imagen y está presente en muchas aplicaciones web, los investigadores comenzaron a buscar inmediatamente ImageTragick en los servicios de las grandes compañías, incluyendo Yahoo! (que era vulnerasble) y Facebook.

El investigador ruso Andrey Leonov descubrió recientemente que Facebook estaba usando una versión vulnerable de ImageMagick y advirtió una solicitud a una URL de Facebook que incluye un parámetro denominado "picture", el cual podía ser manipulado.

Después de probar explotar otras vulnerabilidades del lado del servidor, como Server-Side Request Forgery (SSRF) y XML External Entity (XXE), Leonov probó una solicitud para explotar ImageTragick. Si bien la solicitud para buscar el archivo de imagen no era vulnerable, el convertidor de imagen utilizaba una versión vulnerable de la librería ImageMagick. La vulnerabilidad fue reportada a Facebook el 16 de octubre pasado y fue parcheada por Facebook tres días más tarde.

Leonov reveló algunos detalles técnicos acerca de la falla, pero no publicó la prueba de concepto (PoC) completa proporcionada a Facebook. El experto dijo que no trató de ir demasiado profundo en su intento de explotación, para evitar violar la política de reporte responsable de Facebook. Sin embargo, parece que Facebook determinó que el agujero de seguridad era crítico y premió al investigador con U$S40.000.

Facebook ha confirmado que esta es la mayor recompensa pagada por la empresa hasta el momento. Hasta ahora, el mayor premio (conocido) había sido adjudicado a Reginaldo Silva en 2014, quien obtuvo U$S33.500 por una vulnerabilidad XXE.

Facebook ha pagado más de U$S5 millones desde el lanzamiento de su programa de recompensas de errores en 2011.

Fuente: SecurityWeek

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!