$20 000 nagrody za znalezienie błędu 0-day w PHP na… PornHubie

PornHub.com uruchomił około dwa miesiące temu program nagradzania hackerów za znalezienie błędów umożliwiających zdalne wykonanie kodu po stronie serwera za pomocą PHP. Jednemu zespołowi składającemu się z trzech osób udało się tego dokonać. PornHub.com wypłacił nagrodę w wysokości $20 000 dolarów!

Zespół trzech ‚poszukiwaczy’: Dario Weißer (@haxonaut), cutz oraz Ruslan Habalov (@evonide) odkryło dwa błędy typu use-after-free vulnerabilities (http://www.webopedia.com/TERM/U/use-after-free.html) – CVE-2016-5771/CVE-2016-5773 – w algorytmie garbage collection w momencie jego interakcji z innymi obiektami PHP.

Jedna z nich jest funkcją służącą do deserializacji i zajmuje się danymi, które uploadują użuutkownicy:

• http://www.pornhub.com/album_upload/create
• http://www.pornhub.com/uploading/photo

Ten błąd pozwolił hackerom odkryć, gdzie serwer wysyła dane POST, umożliwiając im tym samym do wysyłania różnych zapytań oraz możliwość zdalnego wykonania kodu.

Hackerzy przyznają, że atak wymagał sporo pracy i czasu. Udało im się odczytać /etc/passwd z serwera, uruchamiać komendy systemowe oraz zmusić PHP do uruchamiania dowolnych syscall’i.

Programiści PHP pracują nad wydaniem poprawki bezpieczeństwa. Błędem 0-day objęte są wszystkie wersje PHP od wersji 5.3 w górę.

Ten włam pozwoliłby hackerom na usunięcie wszydtkich danych PornHuba razem z informacjami o użytkownikach, danych śledzących oraz ujawnienie całego kodu aplikacji, stron powiązanych z PornHub network oraz uzyskanie praw roota.

Pornhub wypłacił zespołowi $20 000 za ich dokonania, dodatkowo otrzymali $2000 od platformy HackerOne za znalezienie błędu typu 0-day w PHP.

Błąd pozwalający na shackowanie PornHUBa został opisany tutaj: https://www.evonide.com/fuzzing-unserialize/

Przebieg ataku można przeczytać tutaj: https://www.evonide.com/how-we-broke-php-hacked-pornhub-and-earned-20000-dollar/

Źródło: thehackernews.com