WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
[Update] Tin tặc đang thăm dò và khai thác các lỗ hổng ImageTragick
Cập nhật ngày 11/05/2016: Các nhà nghiên cứu đã quan sát thấy các cuộc tấn công cố gắng khai thác lỗ hổng thực thi mã từ xa trong thư viện máy chủ Web ImageMagick.
CloudFlare cho biết đã thấy những nỗ lực tìm kiếm các máy chủ tồn tại lỗ hổng, cũng như cố gắng sử dụng lỗ hổng để cài đặt và chạy các file độc hại trên máy chủ có lỗ hổng, vốn sẽ cho tin tặc khả năng truy cập liên tục.
Sucuri cũng thấy các cuộc tấn công ImageTragick vào khách hàng của mình. Tin tặc đã cố gắng khai thác lỗ hổng để thực thi các lệnh giả mạo nhằm mở một shell ngược đến máy chủ của mình.
Các quản trị viên nên áp dụng bản vá lỗi có sẵn. Theo các nhà phát triển của ImageMagick, các phiên bản 6.9.3-10 và 7.0.1-1, cũng như tất cả các phiên bản sau đó, đã được vá các lỗ hổng ImageTragick.
Theo ComputerWorld
-------------------------------------------------------------
Hai nhà nghiên cứu người Nga vừa tiết lộ một lỗ hổng zero-day trong thư viện xử lý hình ảnh ImageMagick được vô số các máy chủ Web triển khai. Lỗ hổng này được cho là đã được sử dụng trong các cuộc tấn công thực tế.
Được đặt tên ImageTragick và có CVE-2016-3714, vấn đề này có bề mặt tấn công lớn, vì cùng với thư viện GD, ImageMagick là một trong những bộ công cụ xử lý hình ảnh được sử dụng nhiều nhất.
Kẻ tấn công có thể kiểm soát máy chủ thông qua ImageMagick
Theo hai nhà nghiên cứu, có rất nhiều lỗ hổng trong ImageMagick, nhưng lỗ hổng ImageTragick đã được sử dụng để tấn công các trang web thông qua các hình ảnh độc hại được tải lên trên máy chủ.
Lỗ hổng zero-day này, theo các nhà nghiên cứu là rất dễ thực hiện, vẫn chưa được vá, nhưng ImageMagick đã được thông báo về vấn đề.
Thông thường hoạt động vá lỗi cho lỗ hổng nhạy cảm như vậy sẽ được thực hiện hoàn toàn riêng tư, nhưng các nhà nghiên cứu quyết định công bố lỗ hổng để các quản trị web có cơ hội phòng vệ vì tin tặc đã sử dụng lỗ hổng này để tấn công máy chủ
Các trang web sử dụng ImageMagick được khuyến cáo nên kiểm tra tất cả các hình ảnh được tải lên phải có "byte magic" hợp lệ trước khi được xử lý. Sử dụng một file cấu hình để vô hiệu hóa các file hình ảnh có lỗ hổng được ImageMagick tạo ra.
Tin tặc chỉ cần tìm trang web cho phép người dùng tải ảnh
Vì ImageMagick là cơ sở của nhiều thư viện và module xử lý hình ảnh, được sử dụng trong rất nhiều ngôn ngữ lập trình như Ruby, JavaScript, PHP, Java…, bất kỳ trang web, chạy bất kỳ nền tảng nào đều có nguy cơ bị tấn công qua lỗ hổng này.
Điều kiện duy nhất là người dùng được phép tải tập tin lên máy chủ, và một số lượng lớn các trang web thực hiện việc này qua tùy chọn "avatar người dùng".
Các nhà nghiên cứu từ chối tiết lộ bất kỳ manh mối liên quan việc khai thác, nhưng dựa trên các biện pháp giảm thiểu, thì cách khai thác liên quan đến byte magic và lập trình ImageMagick.
Byte Magic là một số byte đầu tiên của một tập tin sử dụng lập trình để xác định định dạng hình ảnh (GIF, JPEG, PNG…). Lập trình ImageMagick là các module ImageMagick có thể đọc và ghi dữ liệu vào các loại tập tin hình ảnh cụ thể.
Các nhà nghiên cứu cho biết ImageMagick có một lỗ hổng RCE (Thực thi mã từ xa) cho phép kẻ tấn công viết mã lên máy chủ. Nếu kẻ tấn công có kỹ năng có thể tải lên một hình ảnh độc hại, sử dụng lỗ hổng zero-day để viết một webshell vào ổ đĩa và sử dụng nó để kiểm soát toàn bộ máy chủ.
Theo Softpedia
CloudFlare cho biết đã thấy những nỗ lực tìm kiếm các máy chủ tồn tại lỗ hổng, cũng như cố gắng sử dụng lỗ hổng để cài đặt và chạy các file độc hại trên máy chủ có lỗ hổng, vốn sẽ cho tin tặc khả năng truy cập liên tục.
Sucuri cũng thấy các cuộc tấn công ImageTragick vào khách hàng của mình. Tin tặc đã cố gắng khai thác lỗ hổng để thực thi các lệnh giả mạo nhằm mở một shell ngược đến máy chủ của mình.
Các quản trị viên nên áp dụng bản vá lỗi có sẵn. Theo các nhà phát triển của ImageMagick, các phiên bản 6.9.3-10 và 7.0.1-1, cũng như tất cả các phiên bản sau đó, đã được vá các lỗ hổng ImageTragick.
Theo ComputerWorld
-------------------------------------------------------------
Hai nhà nghiên cứu người Nga vừa tiết lộ một lỗ hổng zero-day trong thư viện xử lý hình ảnh ImageMagick được vô số các máy chủ Web triển khai. Lỗ hổng này được cho là đã được sử dụng trong các cuộc tấn công thực tế.
Được đặt tên ImageTragick và có CVE-2016-3714, vấn đề này có bề mặt tấn công lớn, vì cùng với thư viện GD, ImageMagick là một trong những bộ công cụ xử lý hình ảnh được sử dụng nhiều nhất.
Kẻ tấn công có thể kiểm soát máy chủ thông qua ImageMagick
Theo hai nhà nghiên cứu, có rất nhiều lỗ hổng trong ImageMagick, nhưng lỗ hổng ImageTragick đã được sử dụng để tấn công các trang web thông qua các hình ảnh độc hại được tải lên trên máy chủ.
Lỗ hổng zero-day này, theo các nhà nghiên cứu là rất dễ thực hiện, vẫn chưa được vá, nhưng ImageMagick đã được thông báo về vấn đề.
Thông thường hoạt động vá lỗi cho lỗ hổng nhạy cảm như vậy sẽ được thực hiện hoàn toàn riêng tư, nhưng các nhà nghiên cứu quyết định công bố lỗ hổng để các quản trị web có cơ hội phòng vệ vì tin tặc đã sử dụng lỗ hổng này để tấn công máy chủ
Các trang web sử dụng ImageMagick được khuyến cáo nên kiểm tra tất cả các hình ảnh được tải lên phải có "byte magic" hợp lệ trước khi được xử lý. Sử dụng một file cấu hình để vô hiệu hóa các file hình ảnh có lỗ hổng được ImageMagick tạo ra.
Tin tặc chỉ cần tìm trang web cho phép người dùng tải ảnh
Vì ImageMagick là cơ sở của nhiều thư viện và module xử lý hình ảnh, được sử dụng trong rất nhiều ngôn ngữ lập trình như Ruby, JavaScript, PHP, Java…, bất kỳ trang web, chạy bất kỳ nền tảng nào đều có nguy cơ bị tấn công qua lỗ hổng này.
Điều kiện duy nhất là người dùng được phép tải tập tin lên máy chủ, và một số lượng lớn các trang web thực hiện việc này qua tùy chọn "avatar người dùng".
Các nhà nghiên cứu từ chối tiết lộ bất kỳ manh mối liên quan việc khai thác, nhưng dựa trên các biện pháp giảm thiểu, thì cách khai thác liên quan đến byte magic và lập trình ImageMagick.
Byte Magic là một số byte đầu tiên của một tập tin sử dụng lập trình để xác định định dạng hình ảnh (GIF, JPEG, PNG…). Lập trình ImageMagick là các module ImageMagick có thể đọc và ghi dữ liệu vào các loại tập tin hình ảnh cụ thể.
Các nhà nghiên cứu cho biết ImageMagick có một lỗ hổng RCE (Thực thi mã từ xa) cho phép kẻ tấn công viết mã lên máy chủ. Nếu kẻ tấn công có kỹ năng có thể tải lên một hình ảnh độc hại, sử dụng lỗ hổng zero-day để viết một webshell vào ổ đĩa và sử dụng nó để kiểm soát toàn bộ máy chủ.
Theo Softpedia
Chỉnh sửa lần cuối bởi người điều hành: