0
0
Um pesquisador de segurança diz que ganhou US$ 20.000 por uma vulnerabilidade de alta gravidade do GitHub Enterprise que poderia ter permitido que um invasor executasse comandos arbitrários.
O GitHub Enterprise, a versão local do GitHub.com, foi projetado para facilitar a colaboração de grandes equipes de desenvolvimento de software corporativo.
Em junho, o desenvolvedor de software e pesquisador de segurança William Bowling, com sede na Austrália, informou ao GitHub através de seu programa de recompensa por bugs que ele havia identificado uma vulnerabilidade potencialmente grave. A exploração bem-sucedida pode ter permitido que um invasor sobregrava arquivos arbitrários com conteúdo malicioso, o que poderia ter resultado em execução arbitrária de comando em instâncias do Enterprise Server.
A exploração da vulnerabilidade nas instâncias do Enterprise Server envolvia a injeção de argumentos maliciosos através de opções de comando git.
Embora em si isso seja uma vulnerabilidade séria, a própria equipe de segurança do Bowling e do GitHub não conseguiu encontrar uma maneira de ser explorada em um cenário real devido a um mecanismo de proteção de solicitação de solicitação de sites cruzados (CSRF) implementado pela empresa.
“Para explorar essa vulnerabilidade, um invasor precisaria de permissão para acessar repositórios dentro da instância do GitHub Enterprise Server. No entanto, devido a outras proteções em vigor, não conseguimos identificar uma maneira de explorar ativamente essa vulnerabilidade”, explicou o GitHub.
No entanto, o GitHub avaliou que se tratava de uma vulnerabilidade grave e decidiu conceder uma recompensa por bugs de US$ 20.000, dizBowling. Esta é a maior recompensa que o GitHub está oferecendo por falhas de alta gravidade.
A vulnerabilidade foi corrigida em agosto com o lançamento do GitHub Enterprise 2.21.4, que também corrige uma vulnerabilidade crítica de execução de código remoto identificada nas páginas do GitHub.
O GitHub, que pertence à Microsoft, disse no início deste ano que havia pago um total de mais de US$ 1 milhão através de seu programa de recompensa por bugs no HackerOne. A empresa anunciou no ano passado que não haveria limite máximo para recompensas de vulnerabilidade crítica.
FONTE: SECURITY WEEK