Šiuo metu atakoms išnaudojamas nuotolinio kodo vykdymo pažeidžiamumas, esantis Ghostscript dokumentų konvertavimo įrankių rinkinyje, plačiai naudojamas Linux sistemose.
„Ghostscript“ yra iš anksto įdiegtas daugelyje „Linux“ paskirstymų ir naudojamas įvairiose dokumentų konvertavimo programinėse įrangose, įskaitant „ImageMagick“, „LibreOffice“, GIMP, „Inkscape“, „Scribus“ ir CUPS spausdinimo sistemą.
Šis formato eilutės pažeidžiamumas, pažymėtas kaip CVE-2024-29510, turi įtakos visiems Ghostscript 10.03.0 ir ankstesniems diegimams. Tai leidžia užpuolikams pabėgti iš -dSAFER smėlio dėžės (įjungta pagal numatytuosius nustatymus), nes nepataisytos Ghostscript versijos neapsaugo nuo uniprint įrenginio argumentų eilučių pakeitimų, kai smėlio dėžė suaktyvinama.
Šis saugos apėjimas yra ypač pavojingas, nes leidžia atlikti didelės rizikos operacijas, tokias kaip komandų vykdymas ir failo įvestis / išvestis, naudojant Ghostscript Postscript interpretatorių, kurį smėlio dėžė paprastai blokuoja.
„Šis pažeidžiamumas daro didelį poveikį žiniatinklio programoms ir kitoms paslaugoms, siūlančioms dokumentų konvertavimo ir peržiūros funkcijas, nes jose dažnai naudojamas Ghostscript po gaubtu“, – įspėjo „Codean Labs“ saugos tyrinėtojai, aptikę saugos pažeidžiamumą ir apie jį pranešę.
„Rekomenduojame patikrinti, ar jūsų sprendimas (netiesiogiai) naudoja Ghostscript, ir jei taip, atnaujinti jį į naujausią versiją.”
„Codean Labs“ taip pat bendrino šį „Postscript“ failą, kuris gali padėti gynėjams aptikti, ar jų sistemos yra pažeidžiamos CVE-2023-36664 atakų, paleidžiant jį šia komanda:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
Aktyviai išnaudojamas atakose
Nors „Ghostscript“ kūrimo komanda gegužę pataisė saugos trūkumą, „Codean Labs“ po dviejų mėnesių paskelbė aprašymą su techninėmis detalėmis ir koncepcijos įrodymo išnaudojimo kodu.
Užpuolikai jau naudojasi CVE-2024-29510 Ghostscript pažeidžiamumu gamtoje, naudodami EPS (PostScript) failus, užmaskuotus kaip JPG (vaizdo) failus, kad gautų apvalkalo prieigą prie pažeidžiamų sistemų.
„Jei turite ghostscript *bet kur* savo gamybinėse paslaugose, tikriausiai esate pažeidžiamas šokiruojančiai trivialaus nuotolinio apvalkalo vykdymo, todėl turėtumėte jį atnaujinti arba pašalinti iš savo gamybos sistemų“, – perspėjo kūrėjas Billas Millas.
„Geriausias šio pažeidžiamumo mažinimo būdas – atnaujinti „Ghostscript“ diegimą į v10.03.1. Jei jūsų platinimas nepateikia naujausios „Ghostscript“ versijos, jis vis tiek galėjo išleisti pataisos versiją su šio pažeidžiamumo pataisymu (pvz., „Debian“, „Ubuntu“). , Fedora),“ pridūrė „Codean Labs“.
Prieš metus „Ghostscript“ kūrėjai pataisė kitą kritinį RCE trūkumą (CVE-2023-36664), kurį taip pat sukėlė kenkėjiškai sukurtų failų atidarymas nepataisytose sistemose.