今年5月初文档转换程序库Ghostscript的开发团队发布10.03.1版,当中修补一项远程代码运行(RCE)漏洞CVE-2024-29510,如今研究人员发现已被用于实际攻击行动。
这项漏洞与格式字符串有关,攻击者通过格式字符串注入手法,有可能导致内存中断,或是绕过沙箱机制Safer,CVSS风险评为6.3分。值得留意的是,由于这项程序库的应用范围很广,不仅有许多版本的Linux操作系统内置,也有多款知名的应用程序采用,例如:ImageMagick、LibreOffice、GIMP、Inkscape、Scribus,影响不容小觑。
通报漏洞的资安业者Codean Labs上周公布相关细节,他们提及上述应用程序或是网页应用程序,当中的文档转换及预览功能及服务很有可能会造成重大影响,因为这些应用程序或是服务往往在背景运行Ghostscript,对此,研究人员提供Postscript脚本,让用户检查相关系统是否曝险。
研究人员提到,Safer沙箱的主要功能,是限缩I/O作业内容,一旦激活,将会禁止%pipe%功能,从而达到阻止任意命令运行的目的,并借由路径白名单限制文件的存取。
然而,他们发现,当中的/tmp/文件夹却能让人完整存取、不受限制。也就是说,就算是Postscript脚本处于沙箱环境,仍能完整列出、读取、写入任意数据到/tmp/,因而带来资安风险。
从攻击者的角度来看,这种读写文件的能力,再搭配窜改输出设备及组态的功能,就有机会用于攻击。
研究人员指出,他们可以使用特定命令,将输入设备的型态设置为uniprint(通用打印机),再稍加对于特定加入设备参数,就有机会对不同厂牌及型号的设备下手。
他们借由setpagedevice窜改uniprint,并下达指定upXXXX指令参数,从而存取内存堆栈的位置并滥用漏洞,成功达到沙箱逃逸的目的,而能发动完整RCE攻击。
研究人员指出,黑客可以将特定的PostScript文件(EPS)调用Ghostscript触发漏洞,或是将其嵌入LibreOffice文档文件,在打开文件的过程触发命令运行。
在Codean Labs公布相关细节后,开发人员Bill Mill指出已发现实际攻击行动,呼吁IT人员要尽速检查、进行处理;资安新闻网站Bleeping Computer指出,攻击者使用伪装成JPG图档的EPS文件发动攻击,从而取得目标系统的Shell存取权限。