最新的Ghostscript漏洞困扰着专家，成为下一个重大漏洞的推动者

信息安全圈充斥着关于Ghostscript漏洞的讨论，一些专家认为，这可能是未来几个月发生几起重大泄密事件的原因。

Ghostscript是一个Postscript和Adobe PDF解释器，允许*nix, Windows, MacOS和各种嵌入式操作系统和平台的用户查看，打印和转换PDF和图像文件。它是许多发行版的默认安装，其他包也间接使用它来支持打印或转换操作。

追踪为CVE-2024-29510 (Tenable指定为CVSS 5.5 - medium)，格式字符串错误最初在3月份报告给Ghostscript团队，后来在4月份的10.03.1版本的PostScript和PDF文件的开源解释器中得到缓解。

然而，发现该漏洞的研究人员的博客引发了自该漏洞公开以来的第一波主要兴趣。

荷兰安全商店Codean Labs的首席安全分析师托马斯·林斯马(Thomas Rinsma)发现了一种绕过-dSAFER沙箱，在运行Ghostscript的机器上实现远程代码执行(RCE)的方法。

“这个漏洞对web应用程序和其他提供文档转换和预览功能的服务有重大影响，因为这些服务经常使用Ghostscript，”Rinsma说。

这里他指的是Ghostscript在网络上的广泛使用。最常见的是，它被用于云存储和聊天程序中的预览图像等功能，并且在渲染这些图像时经常调用它。它也被大量用于PDF转换和打印等任务，并且可以发现它也为光学字符识别(OCR)工作流程提供动力。

WithSecure的高级威胁情报分析师斯蒂芬•罗宾逊(Stephen Robinson)对El Reg表示:“这种软件与许多更广泛的解决方案是如此不可或缺，以至于它的存在往往被视为理所当然。”

随着Ghostscript变得越来越流行，项目背后的开发团队呼吁实现越来越坚固的沙箱功能，Rinsma补充道。-dSAFER沙箱在默认情况下是启用的，通常会阻止潜在的危险操作，如命令执行。

该漏洞背后的完整技术细节可以在研究人员的博客中找到，包括下载Linux (x86-64)的概念验证(PoC)漏洞的链接，但它的长短在于它可以允许攻击者任意读取和写入文件，并在受影响的系统上实现RCE。

在回复一个关于Rinsma的PoC的讨论线程时，研究人员证实，它并不适用于所有人，因为代码假设了许多东西，比如堆栈和结构偏移，这些东西可能会根据目标系统而变化。

罗宾逊说:“PoC代码实验室已经共享了一个EPS文件，因此任何与EPS兼容的图像转换服务或工作流程都可以用来实现RCE。”

“虽然NVD没有对CVE进行分析，但Tenable将其列为需要用户交互的本地漏洞，并且没有影响完整性或可用性的风险，只有保密性。”

专家敲响了警钟

本周，网络安全机构注意到了林斯马的研究，并迅速指出了它周围的潜在危险，以及它所分配的严重程度评级可能没有反映出全部情况。

美国国家漏洞数据库(National Vulnerability Database, NVD)的增长放缓似乎在这次事故中得到了体现。

GreyNoise的数据科学副总裁Bob Rudis表示，来自Tenable和Red Hat等公司的建议和附带的严重性评估(两者都使用CVSS 3.0将漏洞评为5.5)在某些方面没有达到标准。

也就是说，Rudis和其他旁观者认为，不需要用户交互就可以成功利用漏洞。Red Hat和Tenable都对情况进行了相反的评估，如果这个决定不正确，将意味着当前的严重性评分低于应有的水平。

罗宾逊说:“与CVE-2023-36664(早期的GhostScript RCE，被列为完整性、可用性和机密性高风险)相比，它似乎更适合作为RCE。”

“确实，该文件必须是本地的，并且必须启动该过程，但由于Ghostscript经常包含在处理不受信任文件的自动化工作流中，因此此漏洞可能比Tenable分配的5.5 CVSS 3.0基本分数更严重。”

组织使用CVE程序和附带的严重性评分作为快速指南，以确定修复某些漏洞的优先级应该是多少。当错误没有得到适当的评估时，就有可能出现补丁和缓解措施没有被及时应用的情况。

在这个特定漏洞被修复几个月后，整个行业直到最近才意识到它的严重性，这一事实本身就证明，准确的严重性评估对信息安全行业非常重要。

Rudis还表示，在未来六个月内，他预计将收到5-10个组织的通知，这些组织在发生重大违规行为后提供通常一年的免费信用监控。

ReadMe的全栈开发人员比尔·米尔(Bill Mill)说，他已经看到了野外的攻击。所以现在PoC发布了——Mill称之为“微不足道”的漏洞——大量的注意力都集中在CVE-2024-29510上，获得这些补丁应该是任何组织的首要任务。

双重麻烦

这是Ghostscript在12个月内第二次披露有关RCE的信息。去年7月，在Kroll的研究人员发表了对该漏洞的调查报告后，CVE-2023-36664的poc上了头条。

这个漏洞的严重程度为9.8级——安全团队不太可能错过修补的机会。利用它所需要做的就是说服目标打开一个恶意文件。

正如本周所做的那样，当时人们普遍担心Ghostscript在现代软件中有多普遍。Kroll说Debian 12有131个软件包依赖于Ghostscript，像LibreOffice套件中的流行应用程序也使用了这个解释器。

原文始发于微信公众号（HackSee）：最新的Ghostscript漏洞困扰着专家，成为下一个重大漏洞的推动者