2021-06-14 01:45 (월)
페이스북, 이미지매직 심각한 보안취약점에 4만달러 지불
상태바
페이스북, 이미지매직 심각한 보안취약점에 4만달러 지불
  • hsk 기자
  • 승인 2017.01.19 15:22
이 기사를 공유합니다

공격자들, 악의적 코드 삽입할 수 있는 이미지 업로드 가능해

face-5.jpg
페이스북이 광범위하게 보고된 이미지매직(ImageMagick) 취약점을 통해 서버에서 원격 코드 실행 공격에 성공한 Andrew Leonov에게 4만달러를 지불했다. 오픈 소스 ImageMagick 툴들은 많은 속성에서 크지 조절, 자르기, 그림 편집 등에 사용된다.

Leonov(@4lemon)는 소위 ImageMagick라고 불리는 취약점이 어떻게 여전히 페이스북에 영향을 미치고 있는지에 대해 상세 정보를 공개했다. 그러나 페이스북에 증거로 제출한 PoC 코드에 대해서는 공개하지 않았다. 그는 페이스북이 이 심각한 취약점 보고에 미화 4만달러를 지불했다고 언급했다.

2014년 1월까지 페이스북이 지불한 가장 높은 버그바운티 상금은 Reginaldo Silva가 발견한 원격 코드 실행 버그에 지불한 미화 33,500 달러다.

지난 5월 프로젝트 담당자는 해당 툴들을 통해 공격자들이 악의적인 코드를 삽입할 수 있는 이미지를 업로드할 수 있고, 이를 통해 데이터 추출 등의 추가적인 공격 행위가 가능하다고 보고했었다.

웹 소유주들은 수시간 내에 버그를 패치할 것을 요구했지만, 페이스북과 같이 거대한 양의 코드 기반을 가진 기업체에서는 어렵다. Leonov는 서비스가 그를 페이스북으로 리다이렉션한 후에 결함을 발견했고, 이에 대해 페이스북은 처음에 서버 측 요청 위조라고 의심했었다고 말했다. 그는 10월 페이스북 버그바운티 제도를 통해 취약점을 제보했고 3일 이내에 수정할 것을 요청했다.

2016년 10월까지 페이스북이 버그바운티 상금으로 지불한 금액은 미화 5백만 달러에 달한다.

★정보보안 대표 미디어 데일리시큐!★