Μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) στο κιτ εργαλείων μετατροπής εγγράφων Ghostscript, που είναι ευρέως διαδεδομένη σε συστήματα Linux, χρησιμοποιείται επί του παρόντος σε επιθέσεις.
Δείτε επίσης: Το σφάλμα RCE regreSSHion του OpenSSH δίνει πρόσβαση root σε διακομιστές Linux
Το Ghostscript είναι προεγκατεστημένο σε πολλές διανομές Linux και χρησιμοποιείται από διάφορα λογισμικά μετατροπής εγγράφων, συμπεριλαμβανομένων των ImageMagick, LibreOffice, GIMP, Inkscape, Scribus και του συστήματος εκτύπωσης CUPS.
Γνωστή ως CVE-2024-29510, αυτή η ευπάθεια RCE επηρεάζει όλες τις εγκαταστάσεις Ghostscript 10.03.0 και παλαιότερες. Επιτρέπει στους εισβολείς να ξεφύγουν από το –dSAFER sandbox (ενεργοποιημένο από προεπιλογή), επειδή οι μη επιδιορθωμένες εκδόσεις Ghostscript αποτυγχάνουν να αποτρέψουν αλλαγές στις συμβολοσειρές ορισμάτων συσκευής unprint μετά την ενεργοποίηση του sandbox.
Αυτή η παράκαμψη ασφαλείας είναι ιδιαίτερα επικίνδυνη, καθώς τους επιτρέπει να εκτελούν λειτουργίες υψηλού κινδύνου, όπως εκτέλεση εντολών και I/O αρχείου, χρησιμοποιώντας τον διερμηνέα Ghostscript Postscript, τον οποίο συνήθως αποκλείει το sandbox.
“Αυτή η ευπάθεια RCE έχει σημαντικό αντίκτυπο σε εφαρμογές ιστού και άλλες υπηρεσίες που προσφέρουν λειτουργίες μετατροπής εγγράφων και προεπισκόπησης, καθώς συχνά χρησιμοποιούν το Ghostscript“, προειδοποίησαν οι ερευνητές ασφαλείας της Codean Labs που ανακάλυψαν και ανέφεραν την ευπάθεια ασφαλείας.
“Συνιστούμε να επαληθεύσετε εάν η λύση σας (έμμεσα) χρησιμοποιεί το Ghostscript και, αν ναι, ενημερώστε την στην πιο πρόσφατη έκδοση.“
Δείτε ακόμα: Exploit για σοβαρό σφάλμα Fortinet RCE, ενημερώστε τώρα
Η Codean Labs μοιράστηκε επίσης ένα αρχείο Postscript που μπορεί να βοηθήσει τους ερευνητές ασφαλείας να εντοπίσουν εάν τα συστήματά τους είναι ευάλωτα σε επιθέσεις CVE-2023-36664 εκτελώντας το με την ακόλουθη εντολή:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
Ενώ η ομάδα ανάπτυξης του Ghostscript διόρθωσε το ελάττωμα RCE τον Μάιο, η Codean Labs δημοσίευσε μια εγγραφή με τεχνικές λεπτομέρειες και κώδικα PoC δύο μήνες αργότερα.
Οι εισβολείς εκμεταλλεύονται ήδη ενεργά την ευπάθεια CVE-2024-29510 Ghostscript, χρησιμοποιώντας αρχεία EPS (PostScript) καμουφλαρισμένα ως αρχεία JPG (εικόνα) για να αποκτήσουν πρόσβαση φλοιού σε ευάλωτα συστήματα.
“Αν έχετε ghostscript οπουδήποτε στις υπηρεσίες παραγωγής σας, πιθανότατα είστε ευάλωτοι σε μια ασήμαντη εκτέλεση απομακρυσμένου κελύφους και θα πρέπει να το αναβαθμίσετε ή να το αφαιρέσετε από τα συστήματα παραγωγής σας“, προειδοποίησε ο προγραμματιστής Bill Mill.
Πριν από ένα χρόνο, οι προγραμματιστές του Ghostscript επιδιόρθωσαν ένα άλλο κρίσιμο ελάττωμα RCE (CVE-2023-36664) που επίσης ενεργοποιήθηκε από το άνοιγμα κακόβουλα δημιουργημένων αρχείων σε μη επιδιορθωμένα συστήματα.
Δείτε επίσης: PoC exploit κυκλοφόρησε για RCE zero-day σε DIR-X4860 routers
Τα σφάλματα Remote Code Execution (RCE), όπως αυτό του Ghostscript, αντιπροσωπεύουν μια κρίσιμη κατηγορία τρωτών σημείων σε συστήματα λογισμικού, επιτρέποντας στους εισβολείς να εκτελούν αυθαίρετο κώδικα σε ένα στοχευμένο μηχάνημα. Αυτά τα τρωτά σημεία συνήθως προκύπτουν από ακατάλληλη επικύρωση ή εξυγίανση των εισροών των χρηστών, επιτρέποντας την έγχυση κακόβουλων ωφέλιμων φορτίων. Η εκμετάλλευση ενός σφάλματος RCE μπορεί να οδηγήσει σε σοβαρές συνέπειες, όπως παραβιάσεις δεδομένων, παραβίαση συστήματος και μη εξουσιοδοτημένο έλεγχο των πόρων του δικτύου. Η αντιμετώπιση των τρωτών σημείων RCE απαιτεί αυστηρές πρακτικές κωδικοποίησης, ολοκληρωμένες δοκιμές και έγκαιρη ενημέρωση κώδικα για προστασία από πιθανές εκμεταλλεύσεις.
Πηγή: bleepingcomputer
 στο κιτ εργαλείων μετατροπής εγγράφων Ghostscript, χρησιμοποιείται σε επιθέσεις.){kind=link}