Siber güvenlik şirketi Octagon Networks, pwn.ai aracıyla grafik işleme yazılımı ImageMagick'te kritik güvenlik açıkları keşfetti. Güvenlik açıkları, çeşitli popüler Linux dağıtımlarındaki standart yapılandırmalarda ortaya çıkıyor ve saldırganların ağ üzerinden kötü amaçlı kod enjekte etmesine ve yürütmesine, dosya yazıp okumasına ve güvenlik politikalarını atlamasına olanak tanıyor.
Duyurudan sonra devamını okuyun
Şirketin analizinde belirttiği gibi, birden fazla konfigürasyondaki milyonlarca sunucu savunmasız durumda. Araç, herhangi bir büyük Linux dağıtımında ve WordPress kurulumunda ImageMagick'teki güvenlik politikası mimarisinde meydana gelebilecek birkaç sıfır gün güvenlik açığını keşfetti. Siber güvenlik araştırmacıları, üzerinde oynanmış .pdf veya .jpg dosyalarının yüklenmesinin, uzaktan kod yürütmeyi sağlamak için yeterli olduğunu açıklıyor.
Sınırlı test ortamı
Test ortamı, minimum saldırı yüzeyine sahip bir web uygulamasından oluşuyordu. API veya ilgi alanları sağlamaz, yalnızca faturaları işler; ayrıca istemci tarafı JavaScript'i de yoktur. Yükleme alanı en ilginç şey. ImageMagick yüklenen dosyaları işler. Analize göre yazılım, milyonlarca sunucuya, Ubuntu 22.04 altında ilk test sisteminde, bilinen herhangi bir güvenlik açığı ve yama olmadan kuruluyor. Yapay zeka aracı daha sonra ImageMagick'i saldırı vektörü olarak tanımladı ve onu kendi sanal alanına yükleyip analiz etti.
.svg dosyalarının sihirli bayt filtrelemesinin ve PostScript filtre politikasının EPSI formatı kullanılarak atlanabileceği bir güvenlik açıkları zinciri buldu. ImageMagick, mesaja değiştirilmiş bir politikayla yanıt verdi çünkü standart politikalar yalnızca temel şablon olarak tasarlanmıştır. Ancak BT araştırmacıları bu standart yönergelerin yaygın olarak kullanıldığını sürdürüyor. Ubuntu 22.04, Debian 11 ve 12, Fedora/RHEL/CentOS, Arch Linux/Alpine Linux/OpenSUSE, Amazon Linux, Google Cloud Shell, macOS Homebrew ve çoğu Docker görüntüsünde kullanılırlar. Bunların hepsi bulunan güvenlik açıklarına karşı savunmasızdır.
Değiştirilen politikaya rağmen yapay zeka aracı, filtreleri atlayan ve dosyaları savunmasız sistemlere yazan ek güvenlik açıkları buldu. PDF formatındaki değiştirilmiş dosyalar, örneğin İnternet'ten kötü amaçlı kod kaçırmayı ve yürütmeyi mümkün kılmıştır. “Güvenlik Politikası” adı verilen politikada örneğin /tmp dizinindeki dosyaların okunması ve yazılması mümkündü. Bu, RAM tüketimi veya PHP oturum zehirlenmesi yoluyla hizmet reddi saldırılarını tetikleyebilir. Ancak ImageMagick'in kodlama dili sürücüdeki herhangi bir yola dosya okuyabildiğinden ve bu yola dosya yazabildiğinden kod kaçakçılığı da mümkündür.
Gerçek tehdit durumu
BT araştırmacıları, WordPress'in küçük resimler oluşturmak, görüntü boyutlarını değiştirmek ve PDF önizlemelerini görüntülemek için ImageMagick PHP uzantısını kullanarak varsayılan olarak ImageMagick'i kullandığını yazıyor. ImageMagick için bir güvenlik politikası oluşturmaz, bunun yerine sunucunun standartlarına dayanır. Bu nedenle standart WordPress kurulumları büyük olasılıkla savunmasızdır. İki milyondan fazla yüklemeye sahip olan Gravity Forms WordPress eklentisi, kimliği doğrulanmamış saldırganların İnternet'ten kötü amaçlı kod kaçırmasına olanak tanıyor. Ancak yük karmaşıktır.
Duyurudan sonra devamını okuyun
Analiz, bazı kavram kanıtları (PoC) sağlar. Raporun yazarlarına göre ImageMagick, etkilenen bir modüle (EPT) sessizce yama uyguladı. Bir CVE girişi eksik, düzeltme bir güvenlik düzeltmesi olarak bildirilmedi ve ImageMagick 6.9.11-60 ile Ubuntu 22.04'e desteklenmedi, diye şikayet ediyorlar.
BT yöneticileri alınacak karşı önlemleri bulmak için analitiği kullanır. Bu, Ghostscript'in kaldırılmasını veya PDF'lerin, ağ erişimi olmayan ve salt okunur bir dosya sistemi olmayan yalıtılmış bir sanal alanda işlenmesini içerir. WordPress kullanıyorsanız sunucunun “policy.xml” dosyasının yüklemelere izin vermediğinden emin olmalısınız. WordPress XML-RPC kontrol yapmaz ve devre dışı bırakılmalıdır. Gravity Forms bir “Resim Gönder” alanıyla birlikte kullanılıyorsa, yöneticilerin ImageMagick politikasında PostScript işlenmesini engellemesi gerekir.
ImageMagick çoğu zaman arka planda birçok yerde fark edilmeden çalışır. Bu genellikle yazılımdaki ciddi güvenlik açıklarının kapatılmasıyla sonuçlanır. Şubat ayı sonlarında yapılan güncellemeler, sekizi yüksek riskli olarak sınıflandırılan yaklaşık 40 güvenlik açığını giderdi. Tehdit sadece akademik değil: ImageMagick'in güvenlik açıkları da vahşi ortamda saldırıya uğruyor.
(Bilmiyorum)
Bir yanıt yazın