Tesla, Microsoft SQL Sunucularındaki Bir Hatayı Bulan Kişiye 10.000 Dolar Odul Verdi

20-02-2020, 20:58:03

#1
rabbit

Açık Profil bilgileri

Özel Mesaj Gönder

rabbit tarafından gönderilen tüm mesajları bul

rabbit'ı arkadaş olarak ekle

Kayıtlı Üye
ABD ’li elektrikli otomobil ureticisi Tesla, gectiğimiz zamanlarda Microsoft SQL Server Reporting Services ’ta (SRSS) karşılaştığı bir guvenlik acığı nedeniyle şirket icin oldukca az sayılabilecek bir miktar odemede bulundu. Odeme, guvenlik acığını keşfeden kişiye aktarıldı.
SRSS, bahsedeceğimiz guvenlik acığı ortaya cıkmadan yalnızca beş gun once bir guncelleme aldı. Ortaya cıkan guvenlik acığı, sunucuda oluşan bir hata sonucunda uzaktan kod duzenlemelerine izin veriyordu. Alman hata avcısı “parzel” tarafından keşfedilen hata, Tesla ’nın partnerleri icin olan sunucuda kendisini gosterdi.
[h=2]SRSS'teki guvenlik acığı daha once de başka birisi tarafından paylaşılmıştı:[/h]
CVE-2020-0618 olarak adlandırılan guvenlik acığı,14 Şubat ’ta bir guncelleme almıştı. Alman avcı parzel ise bu guncellemeden dort gun sonra keşfettiği guvenlik acığını, guvenlik platformu olan Bugcrowd uzerinden paylaştı. parzel, bu acığı Tesla ’nın domain'lerini dolaşarak keşfetti.
Hata avcısı, bu guvenlik acığını keşfettikten sonra parmak izi olarak kullanılabilecek bazı dizgileri kaynak koddan cıkardı. Daha sonra bu dizgilerin Tesla ’nın domain'leriyle uyuşup uyuşmadığını kontrol etti. Tesla, parzel ’in bildirisine guvenlik acığını kabul ederek ve onu 10.000 dolarla odullendirerek yanıt verdi. Tesla, guvenlik acığının ortaya cıkmasıyla birlikte hatalı SQL servisini cevrimdışı yaptı.
MDSec araştırmacısı Soroush Dalili, CVE-2020-0618 isimli guvenlik acığını daha once Microsoft ’a bildirmişti. Dalili, 11 Şubat gunu, yani Microsoft ’un guncellemesinden uc gun sonra bu guvenlik acığı hakkında bazı teknik detayları paylaşarak bu guvenlik acığından nasıl yararlanabileceğini de aktarmıştı.

MDSec araştırmacısı tarafından yayınlanan raporlar, parzel icin oldukca kullanışlı oldu ve Tesla ’nın sunucusundaki bu guvenlik acığını bulmasına yardım etti. Zaten kendisi de Twitter uzerinden yaptığı bir paylaşımda Dalili ’nin paylaştığı rapor icin kendisine teşekkurlerini de iletti.
Guvenlik acığından kurtulan Tesla, şirketin buyukluğu duşunulunce aslında parzel ’e biraz duşuk miktarda odul vermiş diyebiliriz. Ancak bu acığın bulunmasındaki zorluğu ve detayların zaten daha once paylaşılmış olduğunu duşununce odul miktarının yeterli olduğunu soyleyebiliriz.