Falha grave no Ghostscript
9 de Julho de 2024

Uma vulnerabilidade de execução remota de código no toolkit de conversão de documentos Ghostscript, amplamente utilizado em sistemas Linux, atualmente está sendo explorada em ataques.

O Ghostscript vem pré-instalado em muitas distribuições Linux e é utilizado por diversos softwares de conversão de documentos, incluindo ImageMagick, LibreOffice, GIMP, Inkscape, Scribus e o sistema de impressão CUPS.

Rastreada como CVE-2024-29510 , essa vulnerabilidade de string de formato afeta todas as instalações do Ghostscript 10.03.0 e anteriores.

Ela permite que atacantes escapem do sandbox -dSAFER (habilitado por padrão) porque as versões não atualizadas do Ghostscript falham em impedir alterações nas strings de argumento do dispositivo uniprint após a ativação do sandbox.

Essa brecha de segurança é especialmente perigosa, pois permite que eles realizem operações de alto risco, como execução de comandos e I/O de arquivos, usando o interpretador Postscript do Ghostscript, o qual o sandbox normalmente bloquearia.

"Esta vulnerabilidade tem um impacto significativo em aplicações web e outros serviços que oferecem funcionalidades de conversão e pré-visualização de documentos, pois muitas vezes utilizam o Ghostscript por debaixo dos panos", alertaram pesquisadores de segurança da Codean Labs, que descobriram e reportaram a vulnerabilidade de segurança.

"Recomendamos verificar se sua solução faz uso (indiretamente) do Ghostscript e, em caso afirmativo, atualizá-lo para a versão mais recente."

A Codean Labs também compartilhou este arquivo Postscript que pode ajudar os defensores a detectar se seus sistemas estão vulneráveis aos ataques CVE-2023-36664 , executando-o com o seguinte comando:

Embora a equipe de desenvolvimento do Ghostscript tenha corrigido a falha de segurança em maio, a Codean Labs publicou um texto com detalhes técnicos e código de exploração de prova de conceito dois meses depois.

Atacantes já estão explorando a vulnerabilidade CVE-2024-29510 do Ghostscript no mundo real, utilizando arquivos EPS (PostScript) disfarçados como arquivos JPG (imagem) para obter acesso shell a sistemas vulneráveis.

"Se você tem ghostscript *em qualquer lugar* nos seus serviços de produção, provavelmente está vulnerável a uma execução de shell remoto trivialmente chocante, e você deve atualizá-lo ou removê-lo dos seus sistemas de produção", alertou o desenvolvedor Bill Mill.

"A melhor mitigação contra essa vulnerabilidade é atualizar sua instalação do Ghostscript para v10.03.1.Se a sua distribuição não fornecer a versão mais recente do Ghostscript, ainda assim, pode ter lançado uma versão de patch contendo uma correção para esta vulnerabilidade (por exemplo, Debian, Ubuntu, Fedora)", acrescentou a Codean Labs.

Um ano atrás, os desenvolvedores do Ghostscript corrigiram outra falha crítica de RCE ( CVE-2023-36664 ) também acionada ao abrir arquivos maliciosamente criados em sistemas não atualizados.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...