O vulnerabilitate de execuție de cod la distanță în toolkit-ul de conversie a documentelor Ghostscript, folosit pe scară largă pe sistemele Linux, este în prezent exploatată în atacuri.
Ghostscript vine preinstalat pe multe distribuții Linux și este folosit de diferite software-uri de conversie a documentelor, inclusiv ImageMagick, LibreOffice, GIMP, Inkscape, Scribus și sistemul de imprimare CUPS.
Identificată ca fiind CVE-2024-29510, această vulnerabilitate de tip format string afectează toate instalațiile Ghostscript 10.03.0 și anterioare. Permite atacatorilor să scape de sandbox-ul -dSAFER (activat implicit) deoarece versiunile neactualizate ale Ghostscript nu reușesc să prevină modificările la șirurile de argumente ale dispozitivului uniprint după activarea sandbox-ului.
Această bypassare a securității este deosebit de periculoasă deoarece le permite să efectueze operațiuni cu risc ridicat, cum ar fi execuția de comenzi și I/O de fișiere, folosind interpretorul Ghostscript Postscript, pe care sandbox-ul ar trebui să-l blocheze în mod obișnuit.
„Această vulnerabilitate are un impact semnificativ asupra aplicațiilor web și a altor servicii care oferă funcționalități de conversie și previzualizare a documentelor, deoarece acestea folosesc adesea Ghostscript în spatele scenei,” a avertizat cercetătorii de securitate de la Codean Labs, care au descoperit și raportat vulnerabilitatea de securitate.
„Recomandăm să verificați dacă soluția dvs. (indirect) folosește Ghostscript și, în caz afirmativ, să o actualizați la cea mai recentă versiune.”
Codean Labs a distribuit de asemenea acest fișier Postscript care poate ajuta apărătorii să detecteze dacă sistemele lor sunt vulnerabile la atacurile CVE-2023-36664 prin rularea acestuia cu următoarea comandă:
Deși echipa de dezvoltare Ghostscript a remediat problema de securitate în mai, Codean Labs a publicat o analiză detaliată cu detalii tehnice și cod de exploatare proof-of-concept două luni mai târziu.
Atacatorii exploatează deja vulnerabilitatea Ghostscript CVE-2024-29510 în sălbăticie, folosind fișiere EPS (PostScript) camuflate ca fișiere JPG (imagini) pentru a obține acces la shell pe sistemele vulnerabile.
„Dacă aveți ghostscript *oriunde* în serviciile dvs. de producție, este posibil să fiți vulnerabil la o execuție de shell la distanță uimitor de trivială, și ar trebui să-l actualizați sau să-l eliminați din sistemele dvs. de producție,” a avertizat dezvoltatorul Bill Mill.
„Cea mai bună soluție de protecție împotriva acestei vulnerabilități este să actualizați instalarea Ghostscript la v10.03.1. Dacă distribuția dvs. nu oferă cea mai recentă versiune Ghostscript, s-ar putea totuși să fi lansat o versiune de patch conținând o soluție pentru această vulnerabilitate (de exemplu, Debian, Ubuntu, Fedora),” a adăugat Codean Labs.
Acum un an, dezvoltatorii Ghostscript au remediat o altă vulnerabilitate critică de execuție de cod la distanță (CVE-2023-36664) declanșată de asemenea deschiderea fișierelor create malefic pe sistemele neactualizate.
Un nou bug de regreSSHion OpenSSH RCE oferă acces root pe serverele Linux
Vulnerabilitatea CosmicSting afectează 75% dintre site-urile Adobe Commerce și Magento
VMware remediază vulnerabilitatea critică de RCE vCenter, instalați patch-ul acum
Modemele larg utilizate în dispozitivele industriale IoT sunt deschise la atacuri SMS
Ransomware-ul TellYouThePass exploatează recenta vulnerabilitate PHP RCE pentru a pătrunde în servere
Leave a Reply