信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

Linux系統(tǒng)上廣泛使用的Ghostscript文檔轉(zhuǎn)換工具包中存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，目前正在遭受攻擊。

Ghostscript預(yù)裝在許多Linux發(fā)行版上，并被各種文檔轉(zhuǎn)換軟件使用，包括ImageMagick、LibreOffice、GIMP、Inkscape、Scribus和CUPS打印系統(tǒng)。

此格式字符串漏洞的編號為CVE-2024-29510，影響所有Ghostscript 10.03.0及更早版本。它使攻擊者能夠逃離-dSAFER沙盒（默認(rèn)啟用），因?yàn)槲葱扪a(bǔ)的Ghostscript版本無法在激活沙盒后阻止對uniprint設(shè)備參數(shù)字符串的更改。

這種安全繞過尤其危險(xiǎn)，因?yàn)樗试S他們使用沙箱通常會(huì)阻止的Ghostscript Postscript解釋器執(zhí)行高風(fēng)險(xiǎn)操作，例如命令執(zhí)行和文件I/O。

發(fā)現(xiàn)并報(bào)告此安全漏洞的Codean Labs安全研究人員警告稱：“此漏洞對提供文檔轉(zhuǎn)換和預(yù)覽功能的Web應(yīng)用程序和其他服務(wù)有重大影響，因?yàn)檫@些服務(wù)通常在后臺(tái)使用Ghostscript。”

安全研究人員建議用戶驗(yàn)證解決方案是否（間接）使用了Ghostscript，如果是，請將其更新到最新版本。

Codean Labs還分享了Postscript文件，可以通過以下命令運(yùn)行它來幫助防御者檢測他們的系統(tǒng)是否容易受到CVE-2023-36664攻擊：

ghostscript-q-dNODISPLAY-dBATCH CVE-2024-29510_testkit.ps

在攻擊中被積極利用

Ghostscript開發(fā)團(tuán)隊(duì)在5月份修補(bǔ)了該安全漏洞，而Codean Labs則在兩個(gè)月后發(fā)布了包含技術(shù)細(xì)節(jié)和概念驗(yàn)證漏洞代碼的說明。攻擊者已經(jīng)在利用CVE-2024-29510 Ghostscript漏洞，使用偽裝成JPG（圖像）文件的EPS（PostScript）文件獲取易受攻擊系統(tǒng)的shell訪問權(quán)限。

開發(fā)人員警告稱，如果生產(chǎn)服務(wù)中的任何地方有g(shù)hostscript，則會(huì)受到令人震驚的遠(yuǎn)程shell執(zhí)行攻擊，應(yīng)該升級它或?qū)⑵鋸纳a(chǎn)系統(tǒng)中刪除。

Codean Labs補(bǔ)充道：“針對此漏洞的最佳緩解措施是將Ghostscript安裝更新至v10.03.1。如果用戶的發(fā)行版未提供最新的Ghostscript版本，則可能仍發(fā)布了包含此漏洞修復(fù)程序的補(bǔ)丁版本（例如，Debian、Ubuntu、Fedora）。”

一年前，Ghostscript開發(fā)人員修補(bǔ)了另一個(gè)嚴(yán)重的RCE漏洞(CVE-2023-36664)，該漏洞也是由未修補(bǔ)的系統(tǒng)上打開惡意制作的文件引發(fā)的。