Krytyczna podatność RCE w GitLabie przez ExifTool. Badacz zgarnął 20 000 dolarów!

Gdy słyszymy, że jakiś badacz zarobił 20 000 dolarów, to z góry zakładamy, że cały proces eksploitacji był skomplikowany, a exploit to setki, jeśli nie tysiące linijek kodu. W przypadku podatności zidentyfikowanej przez Williama Bowlinga całość sprowadzała się do wgrania na serwer specjalnie spreparowanego pliku .jpg:

Tak prezentuje się payload naszego pliku:

Podczas wgrywania na serwer plików graficznych GitLab Workhorse przekazuje je do ExifToola. Problem polega na tym, że ExifTool ignoruje rozszerzenie i próbuje określić typ pliku na podstawie jego zawartości. Wówczas nasz plik .jpg może zostać zinterpretowany przez ExifToola jako inny format, który z kolei może być wektorem ataku.

Jednym z  „ciekawszych” formatów jest DjVu:

Dlaczego ciekawy? Bo wykonywany jest „eval” na danych wyciąganych z analizowanego pliku:

Badacz miał sporo szczęścia, jeśli chodzi o samo wynagrodzenie, gdyż na początku wynosiło ono zaledwie 1000 dolarów:

GitLab zmienił jednak politykę programu płatności odnośnie luk związanych z bibliotekami trzecimi, co oznaczało dla Williama nagrodę w wysokości 20 000 dolarów:

~ Jakub Bielaszewski