Nie masz jeszcze książki sekuraka o bezpieczeństwie aplikacji webowych? 20% taniej z kodem rabatowym: oferta-sekurak-20

Nacierali na systemy Apple przez 3 miesiące. Zgarnęli przeszło ~1 000 000 PLN

09 października 2020, 08:39 | W biegu | komentarze 3

Do maratonu przystąpiło pięciu zawodników. Czas: 3 miesiące. Cel: systemy firmy Apple dostępne z Internetu. Efekt? Zgłoszonych 55 podatności (w tym 11 krytycznych, 29 ważnych (kategoria: High)). Wypłata: $288 500 – w ramach oficjalnego programu bug bounty.

Warto zaznaczyć, że Apple posiada ogromną klasę adresową 17.0.0.0/8 (to potencjalnie ponad 16 milionów adresów IP – jest co robić; swoją widać tu chyba przyczynę wyczerpywania się publicznych adresów z puli IPv4. Przykładowo również – inna korporacja – HP posiada inną ogromną sieć: 15.0.0.0/10). Zaalokowanych adresów IP jest oczywiście o wiele mniej:

Adresy Apple

Badacze na początek wykonali recon – łącznie z automatyczną realizacją zrzutów ekranowych (dla usług ~http) oraz ręcznym przejrzeniem znalezisk.

Dość szybko udało się znaleźć 22 urządzenia ASA, które Apple nie zdążył załatać (path traversal bez uwierzytelnienia o ocenie ryzyka 7.5/10 w skali CVSS).

Swoją drogą tego typu techniki / łącznie z automatyczną realizacją zrzutów ekranowych / automatycznym wyszukiwaniem potencjalnie podatnych celów, to jeden z elementów naszego szkolenia z reconu – tu bohaterem będzie również Apple.

Inne podatności? Jest tu chyba wszystko:

  • Remote Code Execution
  • Omijanie uwierzytelnienia
  • Dostęp do pewnych sekretów (klucze API?)
  • Wyciek pamięci
  • SQL injection
  • XSS-y
  • SSRF, umożliwiający dostęp do pewnych kodów źródłowych
  • czy może nieco bardziej egzotyczne historie jak: Server Side PhantomJS Execution

Zaskakująco pozytywnie wyglądały czasy reakcji Apple – zazwyczaj luki łatane były w przeciągu 1-2 dni roboczych, a czasem było to nawet 4-6 godzin…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. PanZDużymNosek

    jak nazywa się ten tool do robienia automatycznie screenshotów? Ktoś pamięta?

    Odpowiedz
    • Różnymi można (np. aquatone) tylko musisz mieć materiał źródłowy :)

      Odpowiedz
  2. robert

    PhantomJS zrobisz to bez problemu

    Odpowiedz

Odpowiedz