Encontraron una vulnerabilidad en Ghostscript que era explotada a través de ImageMagick
Hace poco se dio a conocer la noticia de que identificaron una vulnerabilidad crítica (la cual ya está catalogada como CVE-2021-3781) en Ghostscript (un conjunto de herramientas para procesar, convertir y generar documentos en formatos PostScript y PDF) que permite ejecutar código arbitrario al procesar un archivo con formato especial.
Inicialmente, Emil Lerner señaló que había un problema y que además fue quien habló sobre la vulnerabilidad el 25 de agosto en la última conferencia de San Petersburgo ZeroNights X (en el informe mostró cómo Emile dentro del programa de recompensas de errores para usar la vulnerabilidad para obtener premios por demostración ataques a los servicios de AirBNB, Dropbox y Yandex.Realty).
Here're slides from my talk at ZeroNights X! A 0-day for GhostScript 9.50, RCE exploit chain for ImageMagick with the default settings from Ubuntu repos and several bug bounty stories inside https://t.co/7JHotVa5DQ
— Emil Lerner (@emil_lerner) August 25, 2021
El 5 de septiembre, apareció un exploit funcional de dominio público que permite atacar sistemas con Ubuntu 20.04 transfiriendo un script web que se ejecuta en el servidor usando el paquete php-imagemagick, un documento especialmente diseñado cargado bajo la apariencia de una imagen.
Tenemos una solución en las pruebas en este momento.
Dado que este exploit aparentemente ha estado circulando desde marzo y es completamente público desde al menos el 25 de agosto (¡tanto por la divulgación responsable!), Me inclino a publicar la solución públicamente tan pronto como hayamos completado las pruebas y la revisión.
Aun que por otra parte, tambien se menciona que según datos preliminares, un exploit de este tipo se utiliza desde marzo y se dio a conocer que puede atacar sistemas que ejecutan GhostScript 9.50, pero se ha revelado que la vulnerabilidad ha continuado en todas las versiones posteriores de GhostScript, incluida la versión de desarrollo 9.55 de Git.
Posteriormente se propuso una corrección el 8 de septiembre y después de la revisión por pares, se aceptó en el repositorio de GhostScript el 9 de septiembre.
Como mencioné anteriormente, dado que el exploit ha estado «en estado salvaje» durante al menos 6 meses, ya envié el parche a nuestro repositorio público; mantener el parche en secreto en esta circunstancia parecía inútil.
Haré público este error antes del cierre de operaciones (Reino Unido) el viernes, nuevamente, a menos que haya argumentos sólidos y convincentes para no hacerlo (aún puede vincularlo, hacerlo público no cambiará la URL).
El problema se debe a la posibilidad de omitir el modo de aislamiento «-dSAFER» debido a una validación insuficiente de los parámetros del dispositivo Postscript «% pipe%», que permitía ejecutar comandos de shell arbitrarios.
Por ejemplo, para ejecutar la utilidad de identificación en un documento, solo necesita especificar la cadena «(% pipe%/tmp/& id) (w) archivo» o «(% pipe%/tmp/;id) (r) expediente».
Como recordatorio, las vulnerabilidades en Ghostscript son de mayor gravedad, ya que este paquete se usa en muchas aplicaciones populares para procesar formatos PostScript y PDF. Por ejemplo, se llama a Ghostscript al crear miniaturas en el escritorio, al indexar datos en segundo plano y al convertir imágenes. Para un ataque exitoso, en muchos casos, basta con descargar el archivo de explotación o navegar por el directorio con él en un administrador de archivos que admita la visualización de miniaturas de documentos, por ejemplo, en Nautilus.
Las vulnerabilidades en Ghostscript también se pueden explotar a través de controladores de imágenes basados en los paquetes ImageMagick y GraphicsMagick, pasando un archivo JPEG o PNG, que contiene código PostScript en lugar de una imagen (dicho archivo se procesará en Ghostscript, ya que se reconoce el tipo MIME por el contenido, y sin depender de la extensión).
Como solución para protegerse contra la explotación de la vulnerabilidad a través del generador automático de miniaturas en GNOME e ImageMagick, se recomienda deshabilitar la llamada evince-thumbnailer en /usr/share/thumbnailers/evince.thumbnailer y deshabilitar el procesamiento de PS, EPS, Formatos PDF y XPS en ImageMagick,
Finalmente se menciona que en muchas distribuciones, el problema aún no se soluciona (el estado de la publicación de actualizaciones se puede ver en las páginas de Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).
Tambien se menciona que está previsto que el lanzamiento de GhostScript con la eliminación de la vulnerabilidad se publique antes de fin de mes. Si quieres conocer más al respecto, puedes consultar los detalles en el siguiente enlace.