Tesla, a quien conocemos con sus autos eléctricos, otorgó a la persona que encontró una vulnerabilidad en Microsoft SQL Server Reporting Services, la cantidad de $ 10,000 Dolares. La persona que encontró esta vulnerabilidad recibió ayuda de alguien que previamente había compartido algunos detalles.
SSRS había recibido una actualización solo cinco días antes de que apareciera este error, el cual permitía la edición remota de código, dicha vulnerabilidad fue descubierta por el Alemán » Parzel » compartiéndola a través de la plataforma de seguridad Bugcrowd.
Parzel descubrió esta vulnerabilidad llamada CVE-2020-0618 recorriendo los dominios de Tesla. Después de esto, eliminó algunas cadenas que podrían usarse como huellas digitales del código fuente. Luego verificó que estas cadenas coincidían con los dominios de Tesla. Tesla respondió a la declaración de Parzel reconociendo dicha error, recompensándolo con $ 10,000 usd. Por su parte, Tesla inmediatamente desconectó el servicio SQL defectuoso para evitar mayores problemas.
El investigador de la empresa MDSec, Soroush Dalili había informado previamente sobre la vulnerabilidad CVE-2020-0618 a Microsoft. Dalili también compartió cómo podrían aprovecharla, compartiendo algunos detalles técnicos el 11 de febrero, tres días después de que Microsoft hiciera la actualización.
Los servidores SSRS sin parches tienen problemas para manejar correctamente algunas solicitudes de página especialmente diseñadas. Los hackers que explotan la vulnerabilidad de seguridad solo necesitan ser autenticados, incluso teniendo privilegios mínimos.
La redacción técnica publicada por MDSec, sin duda ayudó a Parzel para acelerar el proceso de búsqueda del vulnerable servidor. En un tweet reconoció el esfuerzo y la claridad de la información en el informe de Dalili.
Thanks to @MDSecLabs for their awesome writeup: https://t.co/bFYNAZzhll
— parzel (@parzel2) February 18, 2020
Los informes publicados por el investigador de MDSec fueron clave para Parzel y ayudaron a Tesla a encontrar el problema en su servidor. En una publicación que compartió en Twitter, también agradeció a Dalili por el informe que había dado.
Tesla, en realidad ha otorgado una pequeña cantidad de recompensa teniendo en cuenta el tamaño de la empresa y los problemas que esto le hubiera ocasionado. Sin embargo, considerando la dificultad para encontrar este déficit y los detalles que se han compartido antes, podemos decir que la cantidad de recompensa es suficiente.
👇 Más Noticias en Reiniciado: