Bug-jager Andrey Leonov beweert dat Facebook hem $ 40.000 bug bounty heeft gegeven voor het verkrijgen van externe code-uitvoering op zijn servers met behulp van ImageMagick-fout.
Facebook betaalde $ 40.000 premie aan deze hacker!
Allereerst wil ik u vertellen over ImageMagick. Het is een gratis en open-source softwaresuite voor het weergeven, converteren en bewerken van rasterafbeeldingen en vectorafbeeldingsbestanden. Het kan meer dan 200 beeldbestandsformaten lezen en schrijven.
Zoals gerapporteerd door The Register, is er eind 1 april 2016 een fout in ImageMagick gevonden, waarbij de tools kunnen worden misbruikt om aanvallers in staat te stellen kwaadaardige afbeeldingen te uploaden waarmee externe code kan worden uitgevoerd, van waaruit nog veel meer compromittering, gegevensonderdrukking en zijwaartse beweging mogelijk is.
Nu lijkt het erop dat een hacker externe code op zijn servers heeft uitgevoerd met behulp van die ImageMagick-fout. Andrey Leonov heeft een blogpost gedeeld waarin hij had onthuld hoe hij met behulp van de fout de uitvoering van externe code op de server van Facebook had geleerd.
De hacker heeft alles gegeven details, behalve de gevoelige proof-of-concept exploit. Hackers beweren dat hij de fout per ongeluk ontdekte toen een andere service naar Facebook hem omleidde, waarna hij besloot te kijken of de ImageMagick-fout niet was gepatcht.
@Facebook #ImageTragic uitvoering van externe code https://t.co/Rk3Qtax3ZD #RCE #BugBounty
ā Andrew Leonov (@4lemon) 17 januari 2017
“Als volledig bewijs dat exploit werkt, heb ik het Facebook-beveiligingsteam het resultaat van cat /proc/version-output gegeven die hier niet zal worden gepubliceerd”
Andrey Leonov zei: “Er was eens op zaterdag in oktober dat ik een grote dienst aan het testen was (geen Facebook) toen een omleiding mij volgde op Facebook. Het was een dialoog ‘Delen op Facebook’,’
“Ik ben blij dat ik een van degenen ben die Facebook heeft gebroken”. Andrey Leonov beweert dat hij een premie van $ 40.000 van Facebook heeft ontvangen, wat lijkt op het hoogste premiebedrag dat door Facebook is betaald. Andrey Leonov meldde de kwetsbaarheid op 16 oktober 2016 en hij kreeg de beloning op 28 oktober 2016.
Dus, wat vind je hiervan? Deel uw mening in het opmerkingenveld hieronder.