El bug-hunter Andrew Leonov ha descrito cómo explotar un fallo de ImageMagick para ejecutar código de forma remota en un servidor de Facebook. El hacker Andrew Leonov (@ 4lemon) ha descrito cómo explotar la vulnerabilidad llamada ImageMagick para ejecutar código de forma remota (RCE) en un servidor de Facebook.



El fallo ImageMagick, asignada como CVE-2016-3714, afecta al popular software de manipulación de imágenes, ImageMagick. El bug podría ser explotada por los hackers para hacerse cargo de los sitios web que ejecutan la ampliamente utilizada aplicación de mejora de la imagen. La vulnerabilidad de la aplicación ImageMagick permite a los atacantes ejecutar código arbitrario en los servidores web orientados que dependen de la aplicación para cambiar el tamaño o recortar las imágenes cargadas por el usuario.

El investigador ha detallado en un post el ataque y también proporcionó una hazaña de prueba de concepto para el hack, Facebook le ha otorgado la mayor recompensa hasta ahora, US $ 40.000.

"Érase una vez el sábado en octubre que estaba probando algún gran servicio (no Facebook) cuando alguna redirección me siguió en Facebook. Era un diálogo "Compartir en Facebook": "escribió Leonov.



Https://www.facebook.com/dialog/feed?app_id=APP_ID&link=link.example.tld&picture=http%3A%2F%2Fattacker.tld%2Fexploit.png&name=news_name&caption=news_caption&description=news_descriotion&redirect_uri=http%3A%2F% 2Fwww.facebook.com & ext = 1476569763 & hash = Aebid3vZFdh4UF1H


"Lo que muchos de ustedes pudieron ver. Si miramos más de cerca podemos ver que un parámetro `picture` es una url. Pero no hay url de imagen en el contenido de la página como se mencionó anteriormente ", agregó Leonov.

https://external.fhen1-1.fna.fbcdn.net/safe_image.php?d=AQDaeWq2Fn1Ujs4P&w=158&h=158&url=https%3A%2F%2Fwww.google.com%2Fimages%2Ferrors%2Frobot.png&cfs=1&upscale=1&_nc_hash=AQD2uvqIgAdXgWyb 

El experto ha descubierto la vulnerabilidad luego de que un servicio lo redireccionó a la plataforma de Facebook, inicialmente estaba convencido de que había descubierto una vulnerabilidad de falsificación de solicitud de servidor.

"En primer lugar pensé en algún tipo de problema SSRF. Pero las pruebas mostraron que url de este parámetro solicitado desde 31.13.97. * Red por facebookexternalhit / 1.1. "

Después de probar la aplicación, el experto ideó el siguiente flujo de trabajo:

• Obtiene el parámetro `picture` y lo solicita - esta solicitud es correcta y no es vulnerable
• La imagen recibida pasa en la instancia del convertidor que utilizó la biblioteca ImageMagick vulnerable

La gestión de la falla fue perfecta, el experto informó de la cuestión a Facebook a través del programa de recompensas de insectos en octubre y el gigante de TI lo arregló en menos de tres días.

Fuentes:
http://4lemon.ru/2017-01-17_facebook_imagetragick_remote_code_execution.html