Множество уязвимостей в ImageMagick, одна из которых ведёт к RCE

Тема в разделе "Новости информационной безопасности", создана пользователем akok, 4 май 2016.

  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Несколько часов назад Ryan Huber из отдела безопасности Slack анонсировал некую критическую уязвимость в софте, используемом множеством сайтов. Этим софтом оказался ImageMagick — популярный пакет для обработки изображений.


    Краткая информация об уязвимостях размещена на сайте imagetragick.com. Да, без названия и сайта для уязвимости не обошлось и в этот раз, хотя изначально Райан писал, что никакого пафоса, включая название и сайт, не будет. (есть ещё и твиттер)


    [​IMG]


    Уязвимость была обнаружена stewie и раскрыта на hackerone 21 апреля в репорте, по всей видимости, Mail.ru, ибо примерно через неделю после этого Николай Ермишкин из команды безопасности Мэйла нашёл возможность выполнить RCE. Обо всём этом, само собой, сообщили команде разработки IM. Те 30 апреля выпустили фикс, но уже 1 мая им сообщили, что фикс немножко не фикс. Поэтому 2 мая уязвимость раскрыли в листе рассылки разработчиков пакетов, основанных на IM, а 3 мая уязвимость раскрыли публично. Спустя несколько часов после этого на openwall появилось подробное описание с примерами эксплойтов. Но об этом чуть ниже.


    Прежде всего, стоит заметить, что ваш сайт (вероятно) подвержен этим уязвимостям не только если вы используете IM напрямую, но и через различные пакеты, включая imagick в PHP, rmagick и paperclip в Ruby и imagemagick в nodejs.


    Как защититься?

    Для того, чтобы хоть как-то защититься, предлагается сделать хотя бы одну из двух следующих вещей (а лучше — обе).


    • прежде, чем отправить изображение на обработку в IM, проверить его «магические байты» — последовательность байт, по которой программы определяют формат файла. Да, расширение может не играть никакой роли, так как IM сам определяет формат именно по этой последовательности.
    • включить конфиг, отключающий подверженные уязвимостям декодеры. Файл должен выглядеть примерно так

    Код (XML):
    <policymap>
      <policy domain="coder" rights="none" pattern="EPHEMERAL" />
      <policy domain="coder" rights="none" pattern="URL" />
      <policy domain="coder" rights="none" pattern="HTTPS" />
      <policy domain="coder" rights="none" pattern="MVG" />
      <policy domain="coder" rights="none" pattern="MSL" />
    </policymap>
    Конфиги для IM обычно лежат в /etc/ImageMagick. Для ansible напилили playbook, добавляющий этот конфиг.


    Как уже говорилось выше, патч к IM уже готов, но он неполный. Дело в том, что, как отмечают исследователи, уязвимость была найдена хакерами ранее и уже вовсю эксплуатируется.

    Подробности уязвимостей и эксплуатация
     
    Последнее редактирование модератором: 4 май 2016
    Kиpилл, Dragokas и orderman нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    В продолжение темы...

    Проблема, получившая в начале мая название ImageTragick, и описанная постом выше, позволяет удаленное выполнение кода при обработке специально сформированных изображений. Информация об уязвимости стала доступна посторонним лицам до обнародования проблемы, и в настоящее время эксплойты к уязвимости активно используются злоумышленниками.

    Исследователи компаний CloudFlare и Sucuri обнаружили ряд различных эксплойтов, применяющихся киберпреступниками для разведывательных целей и получения доступа к уязвимым вебсерверам. В одном случае злоумышленники использовали бот для обнаружения потенциальных объектов атаки. Далее они отправляли на первый взгляд безобидный файл JPEG, на деле содержащий шелл-код.

    Подробнее:
     
    Последнее редактирование: 11 май 2016
    Kиpилл и Охотник нравится это.

Поделиться этой страницей