O pesquisador do IS, William Bowling, fez $20,000 por descobrindo uma vulnerabilidade crítica no GitLab. O bug permitiu a execução de código arbitrário ou o roubo de dados confidenciais do servidor.
Bowling expôs a vulnerabilidade em março 2020. Então o especialista percebeu que um invasor poderia obter arquivos arbitrários do servidor enquanto movia o problema de um projeto do GitLab para outro.
“O problema era devido à falta de validação do nome do arquivo na função UploadsRewriter. Como resultado, o especialista demonstrou em seu relatório que um invasor poderia explorar esse problema para ler arquivos arbitrários do servidor, incluindo arquivos de configuração, fichas, e outros dados sensíveis”, - diz William Bowling.
Estudando mais este problema, o especialista descobriu que isso também poderia levar à execução remota de código arbitrário. A falha se aplica às instalações locais do GitLab e ao gitlab.com.
Nota dos engenheiros do GitLab que um invasor poderia explorar esta vulnerabilidade simplesmente criando seu próprio projeto ou grupo, mover o problema de um projeto para outro.
Os desenvolvedores do GitLab corrigiram a vulnerabilidade alguns dias após receber uma mensagem do pesquisador. Como acima mencionado, William Bowling recebeu uma recompensa de $20,000 para esse bug.
Interessantemente, isso está longe de ser a primeira recompensa de bugs do Bowling. Nos últimos meses, o especialista ganhou mais do que $50,000 sobre problemas do GitLab, tendo encontrado várias vulnerabilidades críticas e graves da plataforma.
No fim de 2019, GitLab relatou que durante o ano passado, pagou pesquisadores mais do que $500,000 como parte de seu programa de recompensa por vulnerabilidades descobertas.
GitLab é uma ferramenta web de ciclo de vida DevOps de código aberto que fornece um sistema de gerenciamento de repositório de código para Git com seu próprio wiki, sistema de rastreamento de bugs, CI/CD pipeline and other features.
Deixe-me lembrar que recentemente escrevi aqui sobre o pesquisador de segurança da informação Jacob Archuleta, conhecido na rede sob o pseudônimo de Nullze, que descobriu que o modelo Tesla 3 interface é vulnerável a ataques DoS. Archuleta ganhou pelo menos $15,000 através do programa de recompensas de bugs da Tesla.