威胁行为者正在积极利用 Ghostscript 漏洞(CVE-2024-29510),该漏洞可以让他们逃离 –dSAFER沙箱并实现远程代码执行。
Ghostscript 是 PostScript 语言和 PDF 文件的解释器。它主要用于处理和呈现这些格式的文档。
Codean Labs 的研究人员发现了6 个漏洞 (CVE-2024-29510、CVE-2024-29509、CVE-2024-29506、CVE-2024-29507、CVE-2024-29508、CVE-2024-29511),这些漏洞已在 10.03.0 和 10.03.1 版本中得到解决。
漏洞 CVE-2024-29510 是一个格式字符串漏洞,影响 Ghostscript 版本 ≤ 10.03.0。
该漏洞对使用 Ghostscript 进行文档转换和预览的 Web 应用程序和服务产生重要影响。
专家们重点关注了 Ghostscript 中的“uniprint”(又称“通用打印机设备”)设备,该设备允许通过配置参数为各种品牌和型号的打印机生成命令数据。Ghostscript 包含一组 .upp 文件,这些文件本质上是 Ghostscript 命令行,其中预先填充了针对特定打印机定制的参数,例如 cdj550.upp。通过操纵这些设置,uniprint 可以适应不同的打印需求。
不幸的是,这种多功能性可能会被威胁者利用。uniprint 设备允许用户控制格式字符串并通过将其设置为临时文件来访问设备输出。攻击者可以触发该问题以从堆栈中泄漏数据并导致内存损坏。
Codean 研究人员发布了一个概念验证 (PoC) 漏洞代码,用于绕过 Ghostscript 的 -dSAFER 沙箱并在系统上执行 shell 命令。研究人员指出,攻击者可以使用机器人图像和文档触发该漏洞。
Codean 建议将 Ghostscript 的用户安装更新至 v10.03.1。
专家写道:“如果你的发行版没有提供最新的 Ghostscript 版本,它可能仍发布了包含针对此漏洞的修复的补丁版本(例如, Debian、 Ubuntu、 Fedora)。”
“如果您不确定是否受到影响,我们提供了一个测试套件:一个小型 Postscript 文件,它将告诉您 Ghostscript 版本是否受到影响。在此处下载,然后按如下方式运行:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
开发人员比尔·米尔 (Bill Mill) 表示,他已经观察到该漏洞在野被利用,并警告利用此漏洞的攻击将会增加。
“我已经在野外补救过一次攻击,所以这不仅仅是一个理论问题。修补你的东西吧”Mill在 Mastodon 上写道。
“如果您在生产服务中的任何地方都安装了 ghostscript,那么您可能很容易受到远程 shell 执行的攻击,您应该升级它或将其从生产系统中移除。”开发人员补充道。“需要注意的一点是,imagemagick 会自动将 postscript 文件转发到 ghostscript,因此如果您在任何地方使用 imagemagick,那么您可能很容易受到攻击。(如果您使用 javascript 库来处理图像,那么您可能很容易受到攻击!)”
文章原文:
https://codeanlabs.com/blog/research/cve-2024-29510-ghostscript-format-string-exploitation/
原文始发于微信公众号(独眼情报):威胁行为者正在利用 Ghostscript 漏洞 CVE-2024-29510 绕过沙盒并实现远程代码执行。
评论