Bug Bounty: Facebook zahlt 40.000 US-Dollar für Imagetragick-Bug

Der Sicherheitsforscher Andrey Leonov hat 40.000 US-Dollar für die Entdeckung eines Bugs in der Software des sozialen Netzwerks bekommen. Facebook war für die Imagetragick-Schwachstelle (CVE-2016-3714) anfällig, die es ermöglicht, über präparierte Bilder Code in einen Webserver einzuschleusen und zur Ausführung zu bringen.

Facebook war offenbar im vergangenen Herbst auch fünf Monate nach Bekanntwerden der Sicherheitslücke noch dafür verwundbar. Leonov wurde offenbar eher zufällig auf den Bug aufmerksam. Während er einen anderen großen Onlinedienst testete, leitete ihn ein Redirect auf Facebook um und er probierte verschiedene Angriffsszenarien durch.

Server Side Request Forgery

Mit dem Upload eines präparierten Bildes im SVG-Format gelang es ihm schließlich, eine Anfrage des Servers zu provozieren (Server Side Request Forgery, SSRF). Da die Firewall normale Zugriffe blockiert, nutzte Leonov stattdessen DNS-Anfragen, die von Facebooks Firewall offensichtlich nicht gefiltert wurden.

Leonov schickte im vergangenen Oktober einen Proof of Concept an Facebooks Sicherheitsteam, das innerhalb von zwei Tagen reagierte und den Fehler behoben hat. Der Bounty wurde über das Portal Bugcrowd ausgezahlt. Den Exploit selbst veröffentlichte Leonov nicht.

Der Imagetragick-Bug war im vergangenen Mai von Nikolay Ermishkin gefunden worden. Bei mehr als 200 Bildformaten war es möglich, über Bilder Shellcode in Server zu injizieren. Innerhalb weniger Tage wurde die Sicherheitslücke von Angreifern aktiv ausgenutzt. Einziger Schutz war zunächst, die Unterstützung für zahlreiche Bildformate zu deaktivieren, die Prüfung der Magic Bytes zu aktivieren oder die alternative Bibliothek Graphicsmagick zu nutzen.