BT güvenlik şirketi Octagon Networks, grafik işleme yazılımı ImageMagick'teki kritik güvenlik açıklarını tespit etmek için pwn.ai aracını kullandı. Güvenlik açıkları, birçok popüler Linux dağıtımındaki standart yapılandırmalarda ortaya çıkıyor ve saldırganların ağ üzerinden kötü amaçlı kod enjekte etmesine ve yürütmesine, dosya yazıp okumasına ve güvenlik politikalarını atlamasına olanak tanıyor.
Reklamdan sonra devamını okuyun
Şirketin analizinde belirttiği gibi, birden fazla konfigürasyondaki milyonlarca sunucu savunmasız durumda. Araç, WordPress kurulumlarının yanı sıra herhangi bir büyük Linux dağıtımında ImageMagick'teki güvenlik politikası mimarisinde meydana gelebilecek birkaç sıfır gün güvenlik açığını keşfetti. BT güvenliği araştırmacıları, üzerinde oynanmış .pdf veya .jpg dosyalarının yüklenmesinin, uzaktan kod yürütülmesini sağlamak için yeterli olduğunu açıklıyor.
Sınırlı test ortamı
Test ortamı, minimum saldırı yüzeyine sahip bir web uygulamasından oluşuyordu. Bir API veya ilgi alanı sağlamaz, yalnızca faturaları işler; ayrıca istemci tarafı JavaScript'i de yoktur. Yükleme alanı bu konudaki en ilginç şey. ImageMagick yüklenen dosyaları işler. Analize göre yazılım, milyonlarca sunucuya, Ubuntu 22.04 kapsamındaki ilk test sisteminde, bilinen, yamalanmamış bir güvenlik açığı olmaksızın kuruludur. Yapay zeka aracı bu nedenle ImageMagick'i bir saldırı vektörü olarak tanımladı ve onu kendi sanal alanına kurup analiz etti.
.svg dosyalarının sihirli baytlarıyla filtrelemenin ve PostScript filtre politikasının EPSI formatı kullanılarak atlanabileceği bir güvenlik açıkları zinciri buldu. ImageMagick, mesaja düzeltilmiş bir politikayla yanıt verdi çünkü standart politikalar yalnızca temel şablon olarak tasarlandı. Ancak BT araştırmacıları bu standart yönergelerin yaygın olarak kullanıldığını sürdürüyor. Ubuntu 22.04, Debian 11 ve 12, Fedora/RHEL/CentOS, Arch Linux / Alpine Linux / OpenSUSE, Amazon Linux, Google Cloud Shell, macOS Homebrew ve çoğu Docker görüntüsünde kullanılırlar. Bunların hepsi bulunan güvenlik açıklarına karşı savunmasızdır.
Ayarlanan politikaya rağmen yapay zeka aracı, filtrelemeyi atlayan ve dosyaları savunmasız sistemlere yazan ek güvenlik açıkları buldu. Örneğin, PDF formatındaki değiştirilmiş dosyalar, İnternet'ten kötü amaçlı kod kaçırmayı ve yürütmeyi mümkün kıldı. “Güvenlik Politikası” adı verilen politikada örneğin /tmp dizinindeki dosyaların okunması ve yazılması da mümkündü. Bu, RAM tüketimi veya PHP oturum zehirlenmesi yoluyla hizmet reddi saldırılarını tetikleyebilir. Ancak ImageMagick'in kodlama dili sürücüdeki herhangi bir yoldaki dosyaları okuyabildiği ve yazabildiği için kod kaçakçılığı da mümkündür.
Gerçek tehdit durumu
BT araştırmacıları, WordPress'in küçük resimler oluşturmak, görüntü boyutlarını değiştirmek ve PDF önizlemelerini görüntülemek için PHP ImageMagick uzantısını kullanarak varsayılan olarak ImageMagick'i kullandığını yazıyor. ImageMagick için bir güvenlik politikası belirlemez, bunun yerine sunucu standartlarına dayanır. Standart WordPress kurulumları bu nedenle büyük olasılıkla savunmasızdır. İki milyondan fazla kuruluma sahip olan WordPress için Gravity Forms eklentisi, kimliği doğrulanmamış saldırganların İnternet'ten kötü amaçlı kod kaçırmasına olanak tanıyor. Ancak yük karmaşıktır.
Reklamdan sonra devamını okuyun
Analiz bazı kavram kanıtları (PoC) sağlar. Raporun yazarlarına göre ImageMagick, etkilenen bir modüle (EPT) sessizce yama uyguladı. Bir CVE girişi eksik, düzeltme bir güvenlik düzeltmesi olarak bildirilmedi ve ImageMagick 6.9.11-60 ile Ubuntu 22.04'e desteklenmedi, şikayet ediyorlar.
BT yöneticileri, almaları gereken karşı önlemleri bulmak için analizi kullanır. Bu, Ghostscript'in kaldırılmasını veya PDF'lerin ağ erişimi olmadan ve salt okunur bir dosya sistemiyle yalıtılmış bir sanal alanda işlenmesini içerir. WordPress kullanıyorsanız sunucunun “policy.xml” dosyasının yüklemelere izin vermediğinden emin olmalısınız. WordPress XML-RPC kontrol yapmaz ve devre dışı bırakılmalıdır. Gravity Forms bir “Post Image” alanıyla birlikte kullanılıyorsa, yöneticilerin ImageMagick politikasında PostScript işlenmesini engellemesi gerekir.
ImageMagick çoğu zaman arka planda birçok yerde fark edilmeden çalışır. Bu genellikle yazılımdaki ciddi güvenlik açıklarının kapatılmasını içerir. Şubat ayının sonundaki güncellemeler, sekizi yüksek riskli olarak sınıflandırılan yaklaşık 40 güvenlik açığını giderdi. Tehdit sadece akademik değil; ImageMagick'in güvenlik açıkları da vahşi ortamda saldırıya uğruyor.
(DMK)
Bir yanıt yazın