В пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений (например, создания миниатюр),устранена порция уязвимостей, среди которых имеется критическая проблема (CVE-2016-3714), позволяющая организовать выполнение кода при обработке специально оформленных изображений.
В том числе проблеме подвержены пользователи пакетов PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick. Уязвимости присвоено имя "ImageTragick".
Исследователями уже подготовлен рабочий прототип эксплоита, который вероятно уже взят злоумышленниками на вооружение для проведения атак (имеются сведения, что информация об уязвимости стала доступна посторонним до обнародования проблемы). Всем пользователям рекомендуется незамедлительно обновить ImageMagick, но на момент написания новости исправление доступно лишь в видепатча, сомнительного с точки зрения эффективности защиты. Обновления пакетов для дистрибутивов еще не сформированы: Debian, Ubuntu,RHEL/CentOS, SUSE, openSUSE, FreeBSD, Fedora,
В качестве обходного пути защиты пользователям ImageMagick рекомендуется отключить проблемные типы обработчиков (EPHEMERAL, URL, HTTPS, MVG, MSL) в файле конфигурации /etc/ImageMagick/policy.xml. Кроме того, предлагается реализовать проверку поступающих на обработку изображений на предмет соответствия расширения файла и его идентификатора в заголовке файла (GIF - "47 49 46 38", JPEG - "FF D8" и т.п.).
Уязвимость вызвана ненадлежащей проверкой имён файлов при вызове внешних обработчиков, которые запускаются при помощи функции system() с использованием одной строки, без разделения опций. Так как параметр с именем файла (%M) передаётся напрямую без чистки и имеется возможность передачи произвольных спецсимволов, не составляет труда осуществить подстановку любых shell-команд. Например, обработчик HTTPS оформлен как '"wget" -q -O "%o" "https:%M"', что позволяет вместо имени хоста указать "https://example.com`ls -la`" или "https://example.com|ls -la" и выполнить команду 'ls -la', например 'convert 'https://example.com"|ls "-la' out.png'.
Опасность проблемы усиливает то, что она проявляется не только при прямом вызове, но и при косвенном обращении к ресурсам. Например, типы SVG и MVG позволяют ссылаться на внешние ресурсы, что даёт возможность организовать атаку через передачу файлов SVG и MVG с нормальным именем, которое пройдёт первый уровень проверки в web-приложении. Например, для атаки можно загрузить SVG-файл с тегом '‹image xlink:href="https://example.com/image.jpg"|ls "-la"›' или файл exploit.mvg с командой 'url(https://example.com/image.jpg"|ls "-la)', что приведёт к выполнению 'ls -la' при их обработке в ImageMagick.
Более того, так как ImageMagick определяет тип по содержимому заголовка, а не расширению, атакующий может загрузить проблемные SVG- и MVG-файлы под видом других типов изображений, например, вместо вышеприведённого exploit.mvg загрузить файл exploit.jpg, который на деле будет обработан как файл MVG.
Кроме CVE-2016-3714, в ImageMagick также выявлено несколько менее опасных уязвимостей, принцип эксплуатации которых также основывается на манипуляции с файлами в форамте MVG:
CVE-2016-3718 - возможность инициирования внешних запросов HTTP GET или FTP при обработке специально оформленных изображений. Например, для формата MVG можно указать 'url(http://example.com/)';
CVE-2016-3715 - возможность удаления файлов при обработке специально оформленных изображений. В MVG-файле может быть вызван обработчик 'ephemeral' (например, "image over 0,0 0,0 'ephemeral:/tmp/delete.txt'"), который удаляет файлы после их чтения;
CVE-2016-3716 - возможность перемещения файлов при обработке специально оформленных изображений через применение протокола msl. Например, доступен интересный эксплоит (secgeek.net/POC/POC.gif), позволяющий использовать данную уязвимость для установки PHP Shell;
CVE-2016-3717 - доступ к произвольным локальным файлам на сервере через использование псевдопротокола 'label' (например, "image over 0,0 0,0 'label:@/etc/passwd'"). После выполнения "convert file_read.mvg out.png" на результирующем изображении будет текст с содержимым файла.
Управление по контролю за иностранными активами Минфина США (OFAC), а также министерства иностранных дел Австралии и Великобритании ввели санкции против российской компании Zservers и её ключевых администраторов — Александра Большакова и Александра Мишина. Основанием стало предполагаемое содействие кибергруппировке LockBit.
Zservers предоставляет услуги так называемого «пуленепробиваемого хостинга» (BPH). По версии властей трёх стран, компания причастна к атакам с использованием программ-вымогателей, в частности, LockBit, на счету которой несколько тысяч инцидентов в период с 2019 по 2024 год.
«Участники схем, связанных с программами-вымогателями, и другие киберпреступники полагаются на сторонних поставщиков сетевых услуг, таких как Zservers, для осуществления атак на США и международную критическую инфраструктуру, — заявил исполняющий обязанности заместителя министра финансов США по терроризму и финансовой разведке Брэдли Т. Смит. — Совместные действия с Австралией и Великобританией подчёркивают нашу коллективную решимость разрушить все аспекты этой преступной экосистемы, где бы она ни находилась, ради защиты нашей национальной безопасности».
Власти трёх стран ссылаются на данные, полученные в ходе расследования, проведённого канадскими правоохранительными органами в 2022 году. На ноутбуке одного из подозреваемых в использовании LockBit была обнаружена виртуальная машина, работавшая с программным интерфейсом, развернутым на инфраструктуре Zservers. Это стало основанием для включения компании в санкционный список.
Большаков и Мишин получили санкции как ключевые администраторы Zservers. Кроме того, компания активно размещала рекламу на ресурсах, которыми пользовались операторы программ-вымогателей.
Санкции предусматривают полную блокировку любых активов Zservers, Большакова и Мишина в США, Великобритании и Австралии. Им также запрещён въезд в эти страны, а любые финансовые и коммерческие операции с ними на территории этих государств или с их гражданами исключены.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
