Um especialista que usa o apelido on-line “Th3G3nt3lman” disse que recebeu US$ 5.500 do Yahoo. Ele descobriu uma vulnerabilidade de execução remota de código no Apache Struts 2. A falha estava em um subdomínio do Yahoo hospedando uma página de login para um produto de marketing de Selligent.
A falha de segurança é a CVE-2017-5638, uma vulnerabilidade no Struts 2. Atores mal-intencionados começaram a explorar em março, pouco depois de um patch ser lançado. A falha encontrada afetou os produtos e sistemas de muitas empresas, incluindo Cisco, VMware e AT & T.
De acordo com o Th3G3nt3lman, o exploit inicial publicado para o CVE-2017-5638 não funcionou no site do Yahoo. Porém, ele encontrou um exploit diferente no Twitter (que pode ignorar os firewalls de aplicativos da Web (WAFs)). Podendo, com esse exploit, executar códigos remotos.
Falhas com a biblioteca ImageMagick
O entusiasta de segurança da informação Sam Curry, também publicou uma vulnerabilidade crítica em um sistema de propriedade do Yahoo. Curry e um caçador de bugs conhecidos on-line como “dawgyg”, descobriram um bug no site de streaming de vídeo SnackTV, que o Yahoo assumiu no final de 2014 com a aquisição do Media Group One.
Curry e Dawgyg perceberam que o site SnackTV tinha sido afetado pela vulnerabilidade ImageMagick, conhecida como ImageTragick. A falha no popular conjunto de processamento de imagens foi divulgada em maio de 2016.
Os hackers perceberam que o servidor em questão não era vulnerável ao ataque genérico ImageTragick, mas depois de alguns ajustes eles conseguiram obter acesso à injeção de comando. O Yahoo concertou a falha no prazo de dois dias e os especialistas receberam US$ 3.000.
O Yahoo foi informado de várias vulnerabilidades do ImageMagick e, há vários meses, a empresa decidiu parar de usar a biblioteca depois que um pesquisador descobriu uma falha crítica que poderia ter sido explorada para obter dados confidenciais pertencentes aos usuários do Yahoo Mail.
Curry relatou suas descobertas ao Yahoo no mês passado, o que sugere que o software ainda está presente em alguns de seus sites.
Esta não foi a única vulnerabilidade divulgada por Curry nas últimas semanas. Em maio, ele publicou duas outras postagens de blog descrevendo cross-site scripting (XSS) e outros pontos fracos que lhe renderam um total de mais de US$ 2.000.