未能修补已知的ImageMagick漏洞月份费用Facebook $ 40K

对于一个安全的互联网公司来说，它不常见，以留下几个月的众所周知的脆弱性，但它发生了。Facebook在警告公司之前向研究员支付了40,000美元的奖励，即其服务器容易受到称为Imagetragick的漏洞利用。

ImageTragick是安全社区给出5月份ImageMagick图像处理工具中发现的关键漏洞的名称。

ImageMagick是一个命令行工具，可以以多种格式调整，转换和优化图像。像PHP的Imagick一样，Ruby的Rmagick和PaperClip等Web服务器库，以及数百万个网站使用的Node.js的imageMagick，都是基于它。

ImageMagick开发人员试图在私人报告后修补ImagetRagick缺陷，但他们的修复是不完整的。不久之后，黑客开始利用他们广泛的攻击来危害Web服务器。

10月份，名为Andrey Leonov的安全研究员正在调查Facebook的“S Content Sharing”机制，它为用户共享的外部URL生成简短的描述，包括从共享页面抓取的调整大小的图像。

据研究人员介绍，他希望找到一个服务器端请求伪造（SSRF）或XML外部实体（XXE）漏洞，他可以向Facebook报告并通过公司的错误赏金计划获得奖励。

当他未能找到这样的缺陷时，他有想法要测试Imagetragick漏洞作为最后的手段，因为Facebook正在调整图像大小，并且有机会使用此工具。

第一次开发尝试失败，因为它旨在在Facebook的Server上执行命令，它将在外部服务器上调用网页，Leonov在星期二的博客文章中解释。

然后，研究人员意识到服务器可能在防火墙后面，只允许对可信服务器的请求。所以他重复了他的漏洞，但这一次使用DNS隧道技巧，其中数据通过DNS请求泄露到外部DNS服务器。

根据Leonov的说法，这项工作，他设法通过DNS请求从Facebook的Server中获取一个目录列表。

研究人员于10月16日向Facebook报告了漏洞，并在确认后三天后，该公司修补了它。公司支付Leonov A 40,000美元的赏金，其中最大的奖励之一，它已支付单一漏洞报告。

对于网站管理员来说，如果他们已经避开了，这应该提醒修补Imagetragick缺陷。安全研究员Michal Zalewski在5月份发布了一个博客文章，其中包含各种缓解建议，包括限制了哪些图像格式ImageMagick可以处理和沙盒工具。

Zalewski认为，ImageMagick客户应该停止使用完全支持Libpng，libjpeg-turbo和Giflib等库的工具。这是因为在ImageMagick中有很长的漏洞历史，并且通过自动模糊工具执行的测试揭示了许多可能的可利用错误。