ΑρχικήsecurityΕρευνητές κέρδισαν 50.000$ αφότου παραβίασαν servers της Apple!

Ερευνητές κέρδισαν 50.000$ αφότου παραβίασαν servers της Apple!

Ερευνητές ισχυρίζονται ότι τους απονεμήθηκε από την Apple αμοιβή ύψους 50.000$ επειδή εντόπισαν κάποιες κρίσιμες ευπάθειες που τους έδωσαν πρόσβαση στους servers του τεχνολογικού γίγαντα. Οι Harsh Jaiswal και Rahul Maini, «κυνηγοί» ευπαθειών που εδρεύουν στην Ινδία και ειδικεύονται στην ασφάλεια εφαρμογών, δήλωσαν ότι ανακάλυψαν τις ευπάθειες μέσα στους τελευταίους μήνες, εμπνευσμένοι από μια ομάδα ερευνητών που τον Οκτώβριο ανέφεραν ότι έλαβαν εκατοντάδες χιλιάδες δολάρια από την Apple, αφότου ανακάλυψαν 55 ευπάθειες, συμπεριλαμβανομένων εκείνων που εξέθεσαν τον πηγαίο κώδικα, λογαριασμούς iCloud, warehouse software, καθώς και εφαρμογές υπαλλήλων και πελατών.

Ο Jaiswal και ο Maini δήλωσαν ότι η έρευνά τους επικεντρώθηκε σε κεντρικούς υπολογιστές της Apple που χρησιμοποιούν ένα σύστημα διαχείρισης περιεχομένου (CMS), το οποίο υποστηρίζεται από τη Lucee, μια γλώσσα δέσμης ενεργειών ανοιχτού κώδικα που έχει σχεδιαστεί για την ανάπτυξη web εφαρμογών.

Ερευνητές κέρδισαν 50.000$ επειδή παραβίασαν servers της Apple!

Όπως αναφέρει το Security Affairs, οι ερευνητές ανακάλυψαν κατά τη τη διάρκεια της ανάλυσής τους, τρεις hosts της Apple που εξέθεσαν τον πίνακα διαχείρισης της Lucee, συμπεριλαμβανομένων δύο που σχετίζονται με ένα ταξιδιωτικό portal που παρέχεται από την Apple σε υπαλλήλους. Σε αυτό το portal μπορούν να έχουν πρόσβαση μόνο χρήστες με έγκυρα credentials.

Οι ερευνητές ανακάλυψαν μια λανθασμένη διαμόρφωση της Lucee που τους έδωσε πρόσβαση σε αρχεία χωρίς έλεγχο ταυτότητας. Με αυτόν τον τρόπο, κατάφεραν να δημιουργήσουν ένα webshell σε servers της Apple και να εκτελέσουν αυθαίρετα κώδικα. Επιπλέον, μπόρεσαν να πραγματοποιήσουν τις δοκιμές τους χωρίς να ενεργοποιήσουν το web application firewall της Apple.

Ερευνητές κέρδισαν 50.000$ επειδή παραβίασαν servers της Apple!

Ο Jaiswal και ο Maini δήλωσαν ότι η Apple αποφάσισε να τους απονείμει ένα bug bounty ύψους 50.000$, αφότου την ενημέρωσαν για τις ευπάθειες που εντόπισαν. Επίσης, επικοινώνησαν με τους προγραμματιστές της Lucee, οι οποίοι επίσης έλαβαν ορισμένα μέτρα για να αποτρέψουν κακόβουλες επιθέσεις.

Οι ερευνητές επεσήμαναν ακόμη ότι η Apple διόρθωσε αμέσως τις αναφερόμενες ευπάθειες, αλλά τους ζήτησε να μην αποκαλύψουν το ζήτημα προτού πραγματοποιήσει κάποιες αλλαγές.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS