Cảnh báo lỗi RCE trong thư viện Ghostscript đang được sử dụng để thực hiện các cuộc tấn công

Thông tin lỗ hổng

Một lỗ hổng thực thi mã từ xa trong bộ công cụ chuyển đổi tài liệu Ghostscript, được sử dụng rộng rãi trên các hệ thống Linux, hiện đang bị khai thác trong các cuộc tấn công.

Ghostscript được cài đặt sẵn trên nhiều bản phân phối Linux và được sử dụng bởi nhiều phần mềm chuyển đổi tài liệu, bao gồm ImageMagick, LibreOffice, GIMP, Inkscape, Scribus và hệ thống in CUPS.

Ảnh hưởng

Được theo dõi là CVE-2024-29510, lỗ hổng này ảnh hưởng đến tất cả các bản cài đặt Ghostscript 10.03.0 và các bản trước đó. Nó cho phép kẻ tấn công thoát khỏi sandbox -dSAFER (được bật theo mặc định) vì các phiên bản Ghostscript chưa vá không ngăn chặn được các thay đổi đối với chuỗi đối số thiết bị uniprint sau khi sandbox được kích hoạt.

Phương pháp bỏ qua bảo mật này đặc biệt nguy hiểm vì nó cho phép kẻ tấn công thực hiện các hoạt động có rủi ro cao, chẳng hạn như thực thi lệnh và I/O tệp, bằng cách sử dụng trình thông dịch Ghostscript Postscript, mà sandbox thường chặn.

Lỗ hổng bảo mật này có tác động đáng kể đến các ứng dụng web và các dịch vụ khác cung cấp chức năng chuyển đổi và xem trước tài liệu vì những dịch vụ này thường sử dụng Ghostscript ngầm

Codean Labs cũng đã chia sẻ tệp Postscript này có thể giúp người bảo vệ phát hiện xem hệ thống của họ có dễ bị tấn công CVE-2023-36664 hay không bằng cách chạy tệp này với lệnh sau:

ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps

Những kẻ tấn công hiện đang khai thác lỗ hổng CVE-2024-29510 Ghostscript bằng cách sử dụng các tệp EPS (PostScript) được ngụy trang dưới dạng tệp JPG (hình ảnh) để có quyền truy cập shell vào các hệ thống dễ bị tấn công.

Khuyến nghị

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, VNCERT/CC khuyến nghị quản trị viên được khuyến cáo nên cập nhật cài đặt Ghostscript lên v10.03.1. Nếu bản phân phối không cung cấp phiên bản Ghostscript mới nhất, thì bản phân phối đó vẫn có thể phát hành phiên bản vá lỗi có chứa bản sửa lỗi cho lỗ hổng bảo mật này (ví dụ: Debian , Ubuntu , Fedora )”.