未能修补已知的ImageMagick漏洞月份费用Facebook $ 40K

2022-01-19 14:01:47来源:

对于一个安全的互联网公司来说,它不常见,以留下几个月的众所周知的脆弱性,但它发生了。Facebook在警告公司之前向研究员支付了40,000美元的奖励,即其服务器容易受到称为Imagetragick的漏洞利用。

ImageTragick是安全社区给出5月份ImageMagick图像处理工具中发现的关键漏洞的名称。

ImageMagick是一个命令行工具,可以以多种格式调整,转换和优化图像。像PHP的Imagick一样,Ruby的Rmagick和PaperClip等Web服务器库,以及数百万个网站使用的Node.js的imageMagick,都是基于它。

ImageMagick开发人员试图在私人报告后修补ImagetRagick缺陷,但他们的修复是不完整的。不久之后,黑客开始利用他们广泛的攻击来危害Web服务器。

10月份,名为Andrey Leonov的安全研究员正在调查Facebook的“S Content Sharing”机制,它为用户共享的外部URL生成简短的描述,包括从共享页面抓取的调整大小的图像。

据研究人员介绍,他希望找到一个服务器端请求伪造(SSRF)或XML外部实体(XXE)漏洞,他可以向Facebook报告并通过公司的错误赏金计划获得奖励。

当他未能找到这样的缺陷时,他有想法要测试Imagetragick漏洞作为最后的手段,因为Facebook正在调整图像大小,并且有机会使用此工具。

第一次开发尝试失败,因为它旨在在Facebook的Server上执行命令,它将在外部服务器上调用网页,Leonov在星期二的博客文章中解释。

然后,研究人员意识到服务器可能在防火墙后面,只允许对可信服务器的请求。所以他重复了他的漏洞,但这一次使用DNS隧道技巧,其中数据通过DNS请求泄露到外部DNS服务器。

根据Leonov的说法,这项工作,他设法通过DNS请求从Facebook的Server中获取一个目录列表。

研究人员于10月16日向Facebook报告了漏洞,并在确认后三天后,该公司修补了它。公司支付Leonov A 40,000美元的赏金,其中最大的奖励之一,它已支付单一漏洞报告。

对于网站管理员来说,如果他们已经避开了,这应该提醒修补Imagetragick缺陷。安全研究员Michal Zalewski在5月份发布了一个博客文章,其中包含各种缓解建议,包括限制了哪些图像格式ImageMagick可以处理和沙盒工具。

Zalewski认为,ImageMagick客户应该停止使用完全支持Libpng,libjpeg-turbo和Giflib等库的工具。这是因为在ImageMagick中有很长的漏洞历史,并且通过自动模糊工具执行的测试揭示了许多可能的可利用错误。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章