Det har blitt funnet flere sårbarheter i ImageMagick som kan gi uvedkommende tilgang store mengder webservere. ImageMagick er et bibliotek som blant annet brukes av mange nettsteder i forbindelse med automatisert bildeprosessering.
Det skal være mulig å utnytte sårbarhetene til å kjøre vilkårlige kommandoer på serveren ved bare å laste opp en «falsk» bildefil, dersom filen senere prosesseres av ImageMagick til for eksempel å lage miniatyrbilder, beskjæringer eller lignende.
Angrepskode tilgjengelig
Ifølge HD Moore, sikkerhetsforskeren som også er grunnlegger av Metasploit, sier til CSO Online at Metasploit-moduler med angrepskode som utnytter sårbarhetene, vil bli utgitt i dag.
– Det er massevis av angrepsflate, sier Moore, som beskriver angrepsmetoden på denne måten:
ImageTragick: Upload(meme.png)->(IM detects non-png format based on file magic)->(IM uses insecure delegates to decode)->Shells!
— HD Moore (@hdmoore) 3. mai 2016
Ofte kan filtypen til for eksempel en bildefil gjenkjennes ved å se på de første bytene i filen. Disse kalles noen ganger for «magic bytes» eller «file magic». Dersom man sender ImageMagick en fil med for eksempel .png som etternavn, men med et helt annet innhold, vil ImageMagick forsøke å dekode filen med ulike coders eller plugins, hvorav noen er sårbare og kan opprette skadelige filer lokalt på serveren – alt avhengig av hva den opplastede filen egentlig inneholder.
ImageTragick
Den første av sårbarhetene skal ha blitt funnet av en hacker som kaller seg for Stewie. Nikolai Ermishkin ved Mail.Ru Security Team skal deretter ha funnet flere problemer. Men det er i stor grad sikkerhetsingeniøren Ryan Huber hos Slack som har stått for det meste av kunngjøringene.
Det meste av informasjonen har nå blitt flyttet over på et eget nettsted, ImageTragick, som også er kallenavnet på sårbarhetene.
Selv opplyser ImageMagick-prosjektet at det vil bli utgitt sikkerhetsoppdatering, ImageMagick 7.0.1-1 og 6.9.3-10, til helgen.
Inntil disse er tilgjengelige, ikke bare som kildekode, men også i andre løsninger som er basert på ImageMagick – blant annet PHPs imagick, Rubys rmagick og paperclip, samt imagemagick til node.js, kan man gjøre to tiltak som kan forhindre mulige angrep.
Midlertidig løsning
Det ene er å sikre at dataene i innkommende bildefiler begynner med de forventede «magiske bytene» som korresponderer med bildefiltypene man ønsker å støtte. Dette må skje før filene sendes til prosessering i ImageMagick.
Dessuten bør man deaktivere de sårbare ImageMagick-modulene. Hvordan dette gjøres, er oppgitt her.
- Leste du denne? URL-krympere kan avsløre fortrolig informasjon
