因圖片處理軟體一個漏洞 Facebook給出歷史最高漏洞賞金

ImageMagick是一個免費開源的圖像處理軟體，用於創建、編輯、合成圖片，可運行於大多數的操作系統，支持PHP、Ruby、NodeJS和Python等多種語言，使用非常廣泛。

然而俄羅斯的安全研究員Andrew Leonov卻在其上發現了一個漏洞，編號為CVE-2016-3714。ImageMagick處理的圖片中可攜帶攻擊代碼，遠程攻擊者可利用它執行任意代碼，甚至是控制伺服器。2016年5月，該漏洞被公之於眾，然而厄運由此開始，大量惡意攻擊者利用它進行遠程訪問操作。

Andrew Leonov在一篇文章中描述了此次攻擊並且提供POC。由於漏洞的危害程度極高，Facebook已經授予他4萬美元獎金，這是至今為止Facebook給出的單個最高漏洞獎勵。

Leonov透露發現漏洞的過程:十月份的某個星期六，當他正對一些大的服務進行測試（不是Facebook），一些重定向讓他注意到了Facebook。這是一個分享到<Share on Facebook>的對話框

鏈接如下:

https://www.facebook.com/dialog/feed?app_id=APP_ID&link=link.example.tld&picture=http%3A%2F%2Fattacker.tld%2Fexploit.png&name=news_name&caption=news_caption&description=news_descriotion&redirect_uri=http%3A%2F%2Fwww.facebook.com&ext=1476569763&hash=Aebid3vZFdh4UF1H

Leonov解釋：如果我們認真看，可以發現『picture參數其實是一個URL，然而頁面內容上並沒有如上文中提到的圖像URL。服務將他重新定向到Facebook平台後他確定了漏洞的存在。

首先我想到了某種SSRF問題，但測試表明URL中的參數請求來自於 31.13.97.* network ，通過 facebookexternalhit/1.1參數。

在測試應用程序後，他又測試了ImageTragick 。

工作流程

1.獲取『picture參數並發起請求——此請求是正確的，不易受攻擊

2.通過轉換器接受圖片，其使用易受攻擊的ImageMagick 庫

Lenovo提交漏洞三天之後，Facebook 已經修復了此漏洞並表示在漏洞得到修復之前沒有任何跡象表明有漏洞被攻擊者利用。

註：本文為嘶吼編輯編譯，如若轉載，請註明來自嘶吼

推薦閱讀：