Cyberthreat.id - Seorang peneliti keamanan mendapatkan hadiah US$ 20 ribu atau setara Rp292,7 juta dari GitHub Enterprise, versi lokal GitHub yang dirancang sebagai tempat para pengembang perangkat lunak berbagi sumber kode pemograman (source code) untuk berkolaborasi.

Dikutip dari Security Week, peneliti keamanan asal Australia bernama William Bowling menemukan kerentanan pada GitHub Enterprise dengan tingkat keparahan tinggi yang mungkin memungkinkan penyerang menjalankan perintah sewenang-wenang.

Pada bulan Juni, Bowling, memberi tahu GitHub melalui program bug bounty-nya bahwa ia telah mengidentifikasi potensi kerentanan yang serius. Eksploitasi yang berhasil akan memungkinkan penyerang untuk menimpa file dengan konten berbahaya, yang dapat mengakibatkan eksekusi perintah sewenang-wenang, salah satunya pada server perusahaan.

"Eksploitasi kerentanan pada server Enterprise melibatkan penyuntikan argumen berbahaya melalui opsi perintah git," ungkap Bowling.

Bowling mengatakan, meskipun ini kerentanan yang serius, tim keamanan GitHub sendiri gagal menemukan cara untuk mengeksploitasinya dalam skenario dunia nyata karena mekanisme perlindungan pemalsuan permintaan lintas situs (CSRF) yang diterapkan oleh perusahaan.

GitHub mengatakan, untuk mengeksploitasi kerentanan ini, penyerang memerlukan izin untuk mengakses repositori dalam instance GitHub Enterprise Server. Namun, karena ada perlindungan lain, GitHub tidak dapat mengidentifikasi cara untuk secara aktif mengeksploitasi kerentanan ini.

"GitHub menilai bahwa ini adalah kerentanan yang serius dan memutuskan untuk memberikan hadiah US$ 20.000. Ini adalah hadiah tertinggi yang ditawarkan GitHub untuk kerentanan yang sangat parah," tambah Bowling.

Kerentanan tersebut telah ditambal pada bulan Agustus dengan dirilisnya GitHub Enterprise 2.21.4, yang juga memperbaiki kerentanan eksekusi kode jarak jauh kritis yang diidentifikasi di Halaman GitHub.

GitHub, yang dimiliki oleh Microsoft, mengatakan bahwa mereka telah membayar lebih dari US$ 1 juta melalui program bug bounty di HackerOne. Perusahaan mengumumkan tahun lalu bahwa tidak akan ada batasan teratas untuk hadiah kerentanan kritis.[]

Editor: Yuswardi A. Suud