AMD niega bug bounty de USD 10.000 tras parchar RCE en su auto-updater

AMD negó el pago de un bug bounty de USD 10.000 a un investigador de seguridad pese al trabajo realizado y a la cooperación con la compañía. Habituales de este pub pueden recordar un artículo previo sobre un investigador que diagnosticó una posible ejecución remota de código (RCE) vía ataque man-in-the-middle (MITM) en el software auto-updater de AMD.

¿Qué pasó con el reporte original?

Paul, el investigador, presentó el reporte en el sitio del programa de bug bounty de AMD esperando tanto un fix como el pago correspondiente a un bug clase RCE. El reporte fue rechazado argumentando que los ataques MITM no están cubiertos por la política del programa.

A pesar del rechazo, Paul bajó el blog post que describía la situación por pedido de AMD. La publicación volvió a estar en línea, y la situación completa amerita más de una palmada en la frente.

¿Y la actualización del software?

La buena noticia primero: el updater está aparentemente asegurado, y quien descargue la versión más reciente del paquete de software de AMD debería obtener una versión corregida. Pero el camino hasta este punto estuvo lejos de ser fluido, y hasta hoy Paul aparentemente nunca vio un peso por sus esfuerzos.

Un bug RCE de otra forma valdría USD 10.000 si AMD reconociera plenamente la gravedad del problema.

¿Por qué tardó 124 días el fix?

El post actualizado contiene la historia completa. En febrero, cuando AMD pidió a Paul bajar el blog post temporalmente, la compañía dijo que emitiría un CVE estándar, arreglaría el software y atribuiría los hallazgos a su nombre, pero el pago de la recompensa quedaba descartado. Paul aceptó (una decisión que ahora lamenta), pero preguntó qué timeline seguiría AMD, sugiriendo la ventana estándar de la industria de 90 días hasta volver a publicar la divulgación pública.

AMD respondió que "probablemente necesitaría un embargo más largo, dado que herramientas adicionales más allá de Ryzen Master aparecían afectadas y necesitarían releases". Esa declaración fue interesante por varios motivos:

• Primero, plantea la pregunta de por qué AMD necesitaría tanto tiempo para publicar lo que aparentemente era un fix de un solo carácter, reemplazando "http" por "https" en el código.
• Segundo, si el problema era lo suficientemente grave para tomar tanto tiempo, el trabajo de Paul ameritaba algún tipo de compensación.
• Tercero, si el asunto se veía tan urgente, ¿por qué no tuvo mayor prioridad?

Paul terminó aceptando una ventana de 100 días, y preguntó a AMD el equivalente de "¿qué pasa?" antes de que terminara la cuenta regresiva, solo para ser nuevamente solicitado más tiempo. AMD argumentó que "múltiples herramientas están afectadas por el bug" y que "los clientes piden tiempo adicional una vez que los fixes están disponibles". Finalmente, AMD informó que el fix estaría listo el 9 de junio, totalizando 124 días desde el hallazgo inicial.

Para crédito de la compañía, AMD aparentemente reingenierizó el código de descarga.

Contexto LATAM: ¿qué exposición real tuvo un usuario chileno?

Ryzen Master y el AMD Software pack se distribuyen en Chile vía descargas directas desde amd.com, sin presencia local. Cualquier usuario doméstico o corporativo que haya usado el updater desde febrero hasta el 9 de junio era teóricamente atacable en redes públicas o ISPs con DPI activo. El fix llegó silenciosamente: AMD nunca emitió aviso público en su canal latinoamericano de comunicación al usuario final.