- Lỗ hổng thực thi mã từ xa trong bộ công cụ chuyển đổi tài liệu Ghostscript, được sử dụng rộng rãi trên các hệ thống Linux, hiện đang bị khai thác trong các cuộc tấn công.
Ghostscript được cài đặt sẵn trên nhiều bản phân phối Linux và được sử dụng bởi nhiều phần mềm chuyển đổi tài liệu khác nhau, bao gồm ImageMagick, LibreOffice, GIMP, Inkscape, Scribus và hệ thống in CUPS.
Được định danh là CVE-2024-29510, lỗ hổng ảnh hưởng đến tất cả các phiên bản Ghostscript từ 10.03.0 trở về trước. Nó cho phép kẻ tấn công vượt qua cơ chế bảo vệ sandbox-dSAFER (được kích hoạt theo mặc định).
Ảnh minh họa |
Lỗ hổng này đặc biệt nguy hiểm vì nó cho phép kẻ tấn công thực hiện những hoạt động có tính rủi ro cao, chẳng hạn như thực thi lệnh và thao tác tệp tin, bằng cách lạm dụng trình thông dịch Postscript của Ghostscript mà sandbox thường sẽ chặn.
Các nhà nghiên cứu bảo mật của Codean Labs, những người đã phát hiện và báo cáo lỗ hổng, cảnh báo rằng: “Lỗ hổng này có tác động đáng kể đến các ứng dụng web và các dịch vụ khác cung cấp chức năng xem trước và chuyển đổi tài liệu vì chúng thường sử dụng Ghostscript”.
"Chúng tôi khuyến nghị bạn xác minh xem giải pháp của bạn có [gián tiếp] sử dụng Ghostscript hay không, và nếu có, hãy cập nhật nó lên phiên bản mới nhất". Codean Labs cũng đã chia sẻ tệp Postscript này để giúp bạn phát hiện xem hệ thống của mình có dễ bị tấn công bởi CVE-2023-36664 hay không bằng cách chạy tệp này với lệnh sau:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
Lỗ hổng đang bị khai thác trong các cuộc tấn công
Trong khi nhóm phát triển Ghostscript vá lỗ hổng bảo mật vào tháng 5, Codean Labs đã phát hành một bài viết chia sẻ các chi tiết kỹ thuật và mã khai thác (PoC) cho lỗ hổng hai tháng sau đó.
Những kẻ tấn công đã khai thác lỗ hổng CVE-2024-29510 của Ghostscript trong thực tế bằng cách sử dụng các tệp EPS (PostScript) giả dạng tệp JPG (hình ảnh) để có quyền truy cập shell vào các hệ thống dễ bị tấn công.
Nhà phát triển Bill Mill cảnh báo rằng: “Nếu bạn sử dụng ghostscript trong hệ thống sản xuất của mình, bạn có thể dễ bị tấn công thực thi lệnh từ xa và bạn nên nâng cấp hoặc gỡ bỏ nó khỏi hệ thống của mình”.
"Biện pháp giảm thiểu tốt nhất chống lại lỗ hổng này là cập nhật bản cài đặt Ghostscript của bạn lên phiên bản v10.03.1. Nếu bản phân phối của bạn không cung cấp phiên bản Ghostscript mới nhất, nó có thể vẫn phát hành bản vá chứa bản sửa lỗi cho lỗ hổng này (ví dụ: Debian, Ubuntu, Fedora)," Codean Labs cho biết thêm.
PV (theo bleepingcomputer.com/tinnhiemmang.vn)