BugBounty-verhaal #bugbountytips

Een probleem opgelost, maar ze betaalden het bugbounty-verhaal niet...

Tijdlijn:

• gerapporteerd op 21 oktober 2019
• gevalideerd op Critical 23 oktober 2019
• gevalideerd als vastgesteld op 30 oktober 2019
• Bountybedrag vermeld (IDR 10.000.000 = ~700 USD) 12 november 2019
• Informatie verstrekt voor betaling 16 november 2019
• 13 maart 2020 – Nooit betaald 

Er zijn veel applicaties die SAAS zijn – Shell-as-a-Service. Jupyter Notebook is daar een van met zijn actieve codefunctie en zijn terminalfunctionaliteit.

Terwijl ik met Shodan aan het trollen was op zoek naar kwetsbare dozen, kwam ik een open Jupyter-notitieboekje tegen dat toebehoorde aan Tokopedia. Dit was in eerste instantie niet duidelijk, maar het zal duidelijk worden hoe ik dit heb geïdentificeerd als je de schermafbeeldingen bekijkt.

Open de Jupyter-notebookserver

Ik heb een bericht geschreven over wat u moet doen als u een GCP-sleutel vindt in een vorige post

Dit is vooral belangrijk wanneer mensen de sleutels van hun GCP-serviceaccount in mappen achterlaten

Wanneer u uw servicetoken in de map laat staan ​​zodat iedereen deze kan vinden/gebruiken

In dit geval was het base64-gecodeerd, maar eenvoudig te repareren

serviceaccounttoken b64 gedecodeerd

Het zat ook in de foutuitvoer van een van de Jupyter-notebooks

Ik had de terminal gebruikt om wat rond te snuffelen om de eigenaar te vinden

Toen ik eenmaal had vastgesteld dat het eigendom was van iemand met een bugbounty-programma, dacht ik dat het oké was om de toegang en impact te bewijzen.

Volgens de GCP-blogpost kunt u, zodra u de serviceaccounttoken heeft, authenticeren en communiceren met de services waartoe uw token toegang heeft

Het handige aan het krijgen van een shell op een GCP-computerhost is dat alle GCP-hulpprogramma's zijn geïnstalleerd en "gewoon werken". Ik hoefde eigenlijk niets te doen vanaf een externe host. Ik kon beginnen met ssh'en naar andere hosts vanaf binnen de jupyter-terminal.

Bigquery-tabellen o_0

[+] BigQuery-toegang [+]
bq ls –format=prettyjson –project_id tokopedia-970

Dat factureringstabel yo

Ik ben dol op betalingstabellen

In 2017 ontving Tokopedia een investering van $1.1 miljard van de Chinese e-commercegigant Alibaba.^[7] In 2018 verzekerde het bedrijf zich opnieuw van een financieringsronde van $1.1 miljard onder leiding van de Chinese e-commercegigant Alibaba Group Holding en Japan SoftBank Groep^[8] waardoor de waardering op ongeveer $ 7 miljard komt.^[9]

Omdat ik een goed mens ben, heb ik het probleem gemeld en kreeg het de kritieke ernst toegewezen. Ze hebben het supersnel gerepareerd en het team reageerde fatsoenlijk totdat het was opgelost. Daarna duurde het twee weken voordat ik informatie over de premie kreeg. Ik heb onmiddellijk betalingsgegevens verstrekt, maar ik ben nooit betaald en ze reageren niet meer op mijn vragen.

Oplossingen:
Uitvoeren in een container met beperkte bevoegdheden (beschermt niet tegen aanvallen met cloud-metagegevens)

Nieuwe versies van Juypter-notebook maken toegang met een wachtwoord mogelijk. Doe dat in plaats van open te staan ​​voor iedereen

*** Dit is een Security Bloggers Network syndicated blog van Carnal0wnage & aanvalsonderzoeksblog geschreven door Onbekend. Lees het originele bericht op: http://carnal0wnage.attackresearch.com/2020/03/what-is-your-gcp-infra-worthabout-700.html