Xakep #305. Многошаговые SQL-инъекции
Независимый исследователь Бехруз Садегхипур (Behrouz Sadeghipour) заработал $2000, атаковав уязвимость ImageTragick на одном из доменов, принадлежащих компании Yahoo. По сути, исследователь получил денежное вознаграждение за то, что просто привлек внимание Yahoo к проблеме.
Напомню, что ранее, в начале мая 2016 года был найден ряд опасных уязвимостей в пакете ImageMagick, который является основой для множества библиотек обработки изображений и модулей. Самой большой проблемой стала уязвимость CVE-2016–3714: 0-day, позволяющий удаленное выполнение произвольного кода. Для атаки достаточно загрузить на уязвимый сервер измененную специальным образом картинку. Багу дали название ImageTragick.
Эксперты, нашедшие брешь, сразу же заявили, что проблему уже эксплуатируют злоумышленники. Чуть позже их слова подтвердили исследователи компаний CloudFlare и Sucuri, более детально изучившие эксплоиты для ImageTragick и механизмы их работы.
Казалось бы, на проблеме, известной с начала мая, для которой представлены различные PoC и подробные отчеты, нельзя заработать денег. Но Бехруз Садегхипур доказал, что это не так.
Исследователь обнаружил, что один из сервисов компании Yahoo уязвим перед проблемой ImageTragick. Речь о сервисе Polyvore – социальной коммерческой платформе, которая позволяет пользователям создавать личные коллажи из одежды, обуви, аксессуаров, украшений, косметики, предметов быта и интерьера. Yahoo приобрела Polyvore в 2015 году.
Так как Polyvore позволяет пользователям загружать собственные изображения для своего профиля, ресурс оказался уязвим пред проблемой ImageTragick. Садегхипуру осталось лишь загрузить на сервер proof-of-concept картинку, продемонстрировав работу бага и исполнение произвольного кода на стороне сервера.
Исследователь уведомил Yahoo о проблеме 4 мая 2016 года (при этом информация об ImageTragick была обнародована 3 мая). Компания оперативно исправила проблему, затратив на этого всего три часа. Так как Polyvore недавно был добавлен в число сервисов, участвующих в bug bounty программе Yahoo, Садегхипур получил за свою находку $2000.
Сам исследователь считает, что ему должны был заплатить даже больше, учитывая опасность бага и уровень доступа, который тот позволял получить. Представители Yahoo обтекаемо отвечают, что размер вознаграждения каждый раз определяется отдельно, учитывая глубину уязвимости и серьезность от последствий ее эксплуатации. СМИ, тем временем, недоумевают, как Садегхипур вообще сумел получить bug bounty, попросту указав Yahoo на найденную другими экспертами глобальную проблему.