Error RCE en la biblioteca Ghostscript se explota en ataques

Iniciado por AXCESS, Julio 08, 2024, 04:52:57 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 08, 2024, 04:52:57 PM Ultima modificación: Julio 08, 2024, 04:54:28 PM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Actualmente se está aprovechando en ataques una vulnerabilidad de ejecución remota de código en el kit de herramientas de conversión de documentos Ghostscript, ampliamente utilizado en sistemas Linux.

Ghostscript viene preinstalado en muchas distribuciones de Linux y lo utilizan varios programas de conversión de documentos, incluidos ImageMagick, LibreOffice, GIMP, Inkscape, Scribus y el sistema de impresión CUPS.

Registrada como CVE-2024-29510, esta vulnerabilidad de cadena de formato afecta a todas las instalaciones de Ghostscript 10.03.0 y anteriores. Permite a los atacantes escapar del entorno limitado -dSAFER (habilitado de forma predeterminada) porque las versiones de Ghostscript sin parches no logran evitar cambios en las cadenas de argumentos del dispositivo uniprint después de que se activa el entorno limitado.

Esta omisión de seguridad es especialmente peligrosa ya que les permite realizar operaciones de alto riesgo, como la ejecución de comandos y la E/S de archivos, utilizando el intérprete Ghostscript Postscript, que el sandbox normalmente bloquearía.

"Esta vulnerabilidad tiene un impacto significativo en las aplicaciones web y otros servicios que ofrecen funcionalidades de conversión y vista previa de documentos, ya que a menudo utilizan Ghostscript bajo el capó", advirtieron los investigadores de seguridad de Codean Labs que descubrieron e informaron sobre la vulnerabilidad de seguridad.

"Recomendamos verificar si su solución (indirectamente) utiliza Ghostscript y, de ser así, actualizarla a la última versión".

Codean Labs también compartió este archivo Postscript,

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

que puede ayudar a los defensores a detectar si sus sistemas son vulnerables a ataques CVE-2023-36664 ejecutándolo con el siguiente comando:

ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps

Explotado activamente en ataques

Si bien el equipo de desarrollo de Ghostscript solucionó el problema de seguridad en mayo, Codean Labs publicó un artículo con detalles técnicos y un código de explotación de prueba de concepto dos meses después.

Los atacantes ya están explotando la vulnerabilidad CVE-2024-29510 Ghostscript en estado salvaje, utilizando archivos EPS (PostScript) camuflados como archivos JPG (imagen) para obtener acceso de shell a los sistemas vulnerables.

"Si tiene Ghostscript *en cualquier lugar* de sus servicios de producción, probablemente sea vulnerable a una ejecución remota de shell sorprendentemente trivial, y debería actualizarlo o eliminarlo de sus sistemas de producción", advirtió el desarrollador Bill Mill.

"La mejor mitigación contra esta vulnerabilidad es actualizar su instalación de Ghostscript a v10.03.1. Si su distribución no proporciona la última versión de Ghostscript, es posible que aún haya lanzado una versión de parche que contenga una solución para esta vulnerabilidad (por ejemplo, Debian, Ubuntu , Fedora)", agregó Codean Labs.

Hace un año, los desarrolladores de Ghostscript parchearon otra falla crítica de RCE (CVE-2023-36664) que también se desencadena al abrir archivos creados con fines malintencionados en sistemas sin parches.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario