Fa poc es va donar a conèixer la notícia que van identificar una vulnerabilitat crítica (la qual ja està catalogada com a CVE-2021-3781) a Ghostscript (un conjunt d'eines per processar, convertir i generar documents en formats PostScript i PDF) que permet executar codi arbitrari en processar un fitxer amb format especial.
inicialment, Emil Lerner va assenyalar que hi havia un problema i que a més va ser qui va parlar sobre la vulnerabilitat el 25 d'agostoa la darrera conferència de Sant Petersburg ZeroNights X (a l'informe va mostrar com Emile dins del programa de recompenses d'errors per utilitzar la vulnerabilitat per obtenir premis per demostració atacs als serveis d'AirBNB, Dropbox i Yandex.Realty).
Here're slides from my talk at ZeroNights X! A 0-day for GhostScript 9.50, RCE exploit chain for ImageMagick with the default settings from Ubuntu repos and several bug bounty stories inside https://t.co/7JHotVa5DQ
— Emil Lerner (@emil_lerner) Agost 25, 2021
El 5 de setembre, va aparèixer un exploit funcional de domini públic que permet atacar sistemes amb Ubuntu 20.04 transferint un script web que s'executa al servidor usant el paquet php-imagemagick, un document especialment dissenyat carregat sota l'aparença d'una imatge.
Tenim una solució a les proves en aquest moment.
Atès que aquest exploit aparentment ha estat circulant des del març i és completament públic des d'almenys el 25 d'agost (tant per la divulgació responsable!), m'inclino a publicar la solució públicament tan aviat com hàgim completat les proves i la revisió.
Tot i que per altra banda, també s'esmenta que segons dades preliminars, un exploit d'aquest tipus es fa servir des del març i es va donar a conèixer que pot atacar sistemes que executen GhostScript 9.50, però s'ha revelat que la vulnerabilitat ha continuat a totes les versions posteriors de GhostScript, inclosa la versió de desenvolupament 9.55 de Git.
Posteriorment es va proposar una correcció el 8 de setembre i després de la revisió per parells, es va acceptar al repositori de GhostScript el 9 de setembre.
Com vaig esmentar anteriorment, atès que l'exploit ha estat «en estat salvatge» durant almenys 6 mesos, ja vaig enviar el pegat al nostre repositori públic; mantenir el pegat en secret en aquesta circumstància semblava inútil.
Faré públic aquest error abans del tancament d'operacions (Regne Unit) divendres, novament, tret que hi hagi arguments sòlids i convincents per no fer-ho (encara pot vincular-ho, fer-ho públic no canviarà la URL).
El problema és degut a la possibilitat d'ometre el mode d'aïllament «-dSAFER» degut a una validació insuficient dels paràmetres del dispositiu Postscript «% pipe%», que permetia executar ordres d'intèrpret d'ordres arbitraris.
Per exemple, per executar la utilitat d'identificació en un document, només cal que especifiqueu la cadena «(% pipe%/tmp/& id) (w) fitxer» o «(% pipe%/tmp/;id) (r) expedient ».
Com a recordatori, les vulnerabilitats a Ghostscript són de major gravetat, ja que aquest paquet s'usa en moltes aplicacions populars per processar formats PostScript i PDF. Per exemple, es diu Ghostscript en crear miniatures a l'escriptori, en indexar dades en segon pla i en convertir imatges. Per a un atac exitós, en molts casos, només cal descarregar l'arxiu d'explotació o navegar pel directori amb ell en un administrador de fitxers que admeti la visualització de miniatures de documents, per exemple, a Nautilus.
Les vulnerabilitats en Ghostscript també es poden explotar a través de controladors d'imatges basats en els paquets ImageMagick i GraphicsMagick, passant un fitxer JPEG o PNG, que conté codi PostScript en lloc d'una imatge (aquest fitxer es processarà en Ghostscript, ja que es reconeix el tipus MIME pel contingut, i sense dependre de la extensió).
Com a solució per protegir-se contra l'explotació de la vulnerabilitat a través del generador automàtic de miniatures al GNOME i ImageMagick, es recomana deshabilitar l'anomenada evince-thumbnailer a /usr/share/thumbnailers/evince.thumbnailer i deshabilitar el processament de PS, EPS Formats PDF i XPS a ImageMagick,
Finalment s'esmenta que en moltes distribucions, el problema encara no se soluciona (l'estat de la publicació d'actualitzacions es pot veure a les pàgines de Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).
També s'esmenta que està previst que el llançament de GhostScript amb l'eliminació de la vulnerabilitat es publiqui abans de final de mes. Si vols conèixer més sobre això, pots consultar els detalls al següent enllaç.