Uma vulnerabilidade de execução remota de código no toolkit de conversão de documentos Ghostscript, amplamente utilizado em sistemas Linux, atualmente está sendo explorada em ataques.
O Ghostscript vem pré-instalado em muitas distribuições Linux e é utilizado por diversos softwares de conversão de documentos, incluindo ImageMagick, LibreOffice, GIMP, Inkscape, Scribus e o sistema de impressão CUPS.
Rastreada como
CVE-2024-29510
, essa vulnerabilidade de string de formato afeta todas as instalações do Ghostscript 10.03.0 e anteriores.
Ela permite que atacantes escapem do sandbox -dSAFER (habilitado por padrão) porque as versões não atualizadas do Ghostscript falham em impedir alterações nas strings de argumento do dispositivo uniprint após a ativação do sandbox.
Essa brecha de segurança é especialmente perigosa, pois permite que eles realizem operações de alto risco, como execução de comandos e I/O de arquivos, usando o interpretador Postscript do Ghostscript, o qual o sandbox normalmente bloquearia.
"Esta vulnerabilidade tem um impacto significativo em aplicações web e outros serviços que oferecem funcionalidades de conversão e pré-visualização de documentos, pois muitas vezes utilizam o Ghostscript por debaixo dos panos", alertaram pesquisadores de segurança da Codean Labs, que descobriram e reportaram a vulnerabilidade de segurança.
"Recomendamos verificar se sua solução faz uso (indiretamente) do Ghostscript e, em caso afirmativo, atualizá-lo para a versão mais recente."
A Codean Labs também compartilhou este arquivo Postscript que pode ajudar os defensores a detectar se seus sistemas estão vulneráveis aos ataques
CVE-2023-36664
, executando-o com o seguinte comando:
Embora a equipe de desenvolvimento do Ghostscript tenha corrigido a falha de segurança em maio, a Codean Labs publicou um texto com detalhes técnicos e código de exploração de prova de conceito dois meses depois.
Atacantes já estão explorando a vulnerabilidade
CVE-2024-29510
do Ghostscript no mundo real, utilizando arquivos EPS (PostScript) disfarçados como arquivos JPG (imagem) para obter acesso shell a sistemas vulneráveis.
"Se você tem ghostscript *em qualquer lugar* nos seus serviços de produção, provavelmente está vulnerável a uma execução de shell remoto trivialmente chocante, e você deve atualizá-lo ou removê-lo dos seus sistemas de produção", alertou o desenvolvedor Bill Mill.
"A melhor mitigação contra essa vulnerabilidade é atualizar sua instalação do Ghostscript para v10.03.1.Se a sua distribuição não fornecer a versão mais recente do Ghostscript, ainda assim, pode ter lançado uma versão de patch contendo uma correção para esta vulnerabilidade (por exemplo, Debian, Ubuntu, Fedora)", acrescentou a Codean Labs.
Um ano atrás, os desenvolvedores do Ghostscript corrigiram outra falha crítica de RCE (
CVE-2023-36664
) também acionada ao abrir arquivos maliciosamente criados em sistemas não atualizados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...