Tesla, hãng xe điện mà chúng ta biết đến, đã trao phần thưởng 10.000 USD cho người tìm ra lỗ hổng trong Dịch vụ báo cáo Microsoft SQL Server. Người phát hiện ra lỗ hổng này đã nhận được sự trợ giúp từ một người đã chia sẻ về lỗ hổng này trước đây.
nhà sản xuất ô tô điện của Mỹ Teslatrong quá khứ trong Dịch vụ báo cáo Microsoft SQL Server (SRSS) đã trả một số tiền tương đối nhỏ cho công ty do lỗ hổng bảo mật mà công ty gặp phải. Khoản thanh toán đã được chuyển cho người phát hiện ra lỗ hổng.
SRSS đã nhận được bản cập nhật chỉ 5 ngày trước khi lỗ hổng mà chúng tôi đang nói đến bị lộ. Lỗ hổng dẫn đến là kết quả của một lỗi trên máy chủ. chỉnh sửa mã từ xa đã cho phép. Thợ săn bọ người Đức “bưu kiện” được phát hiện trên máy chủ dành cho các đối tác của Tesla.
Lỗ hổng trong SRSS trước đây đã được người khác chia sẻ:
CVE-2020-0618 Lỗ hổng, được gọi là lỗ hổng, đã nhận được bản cập nhật vào ngày 14 tháng 2. Mặt khác, thợ săn người Đức Parzel đã phát hiện ra lỗ hổng này 4 ngày sau bản cập nhật này bằng cách sử dụng nền tảng bảo mật. đám đông côn đồ được chia sẻ qua. Parzel đã phát hiện ra lỗ hổng này bằng cách điều hướng các miền của Tesla.
Sau khi phát hiện ra lỗ hổng này, thợ săn lỗi đã trích xuất một số chuỗi từ mã nguồn có thể được sử dụng làm dấu vân tay. Sau đó, ông kiểm tra xem những chuỗi này có khớp với tên miền của Tesla hay không. Tesla thừa nhận lỗ hổng trong bài báo của Parzel và được thưởng 10.000 USD đã trả lời. Tesla đã đưa dịch vụ SQL bị lỗi ngoại tuyến khi phát hiện ra lỗ hổng.
Nhà nghiên cứu MDsec Soroush Dalili CVE-2020-0618 trước đây đã báo cáo lỗ hổng này cho Microsoft. Dalili đã chia sẻ một số chi tiết kỹ thuật về lỗ hổng này vào ngày 11 tháng 2, ba ngày sau khi Microsoft cập nhật và truyền đạt cách anh có thể khai thác lỗ hổng này.
Các báo cáo do nhà nghiên cứu MDSec công bố khá hữu ích cho Parzel và giúp Tesla tìm ra lỗ hổng này trong máy chủ của anh ta. đã giúp. Anh ấy đã Twitter Anh ấy cũng gửi lời cảm ơn tới Dalili về báo cáo mà anh ấy đã chia sẻ trong một bài đăng trên trang web của mình.
Chúng ta có thể nói rằng Tesla, người đã loại bỏ lỗ hổng, thực sự đã đưa ra số tiền thưởng hơi thấp cho parzel, nếu xét đến quy mô của công ty. Tuy nhiên, xét đến khó khăn trong việc tìm ra khoảng trống này và thực tế là các chi tiết đã được chia sẻ, chúng tôi có thể nói rằng số tiền thưởng là đủ.
Nguồn: https://www.bleepingcomputer.com/news/security/tesla-pays-10k-for-microsoft-sql-server-reporting-services-bug/
