Afetando todas as instalações do Ghostscript 10.03.0 e anteriores, um bug RCE no Ghostscript está sendo explorado em ataques.
Ghostscript vem pré-instalado em muitas distribuições Linux e é usado por vários softwares de conversão de documentos, incluindo ImageMagick, LibreOffice, GIMP, Inkscape, Scribus e o sistema de impressão CUPS.
Agora, uma vulnerabilidade de execução remota de código no kit de ferramentas de conversão de documentos Ghostscript, amplamente utilizado em sistemas Linux, está atualmente sendo explorada em ataques.
Bug RCE no Ghostscript está sendo explorado em ataques
Rastreada como CVE-2024-29510, esta vulnerabilidade de string de formato afeta todas as instalações do Ghostscript 10.03.0 e anteriores.
Ele permite que invasores escapem da sandbox -dSAFER (habilitada por padrão) porque as versões não corrigidas do Ghostscript não conseguem evitar alterações nas strings de argumentos do dispositivo uniprint após a sandbox ser ativada.
Esse desvio de segurança é especialmente perigoso porque permite que eles executem operações de alto risco, como execução de comandos e E/S de arquivos, usando o interpretador Ghostscript Postscript, que a sandbox normalmente bloquearia.
“Essa vulnerabilidade tem um impacto significativo em aplicativos da web e outros serviços que oferecem conversão de documentos e funcionalidades de visualização, já que eles costumam usar o Ghostscript nos bastidores”, alertaram os pesquisadores de segurança do Codean Labs que descobriram e relataram a vulnerabilidade de segurança.
“Recomendamos verificar se sua solução (indiretamente) faz uso do Ghostscript e, em caso afirmativo, atualize-a para a versão mais recente.”
Codean Labs também compartilhou este arquivo Postscript que pode ajudar os defensores a detectar se seus sistemas são vulneráveis a ataques CVE-2023-36664, executando-o com o seguinte comando:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
Enquanto a equipe de desenvolvimento do Ghostscript corrigia a falha de segurança em maio, o Codean Labs publicou um artigo com detalhes técnicos e código de exploração de prova de conceito dois meses depois.
Os invasores já estão explorando a vulnerabilidade CVE-2024-29510 Ghostscript, usando arquivos EPS (PostScript) camuflados como arquivos JPG (imagem) para obter acesso shell a sistemas vulneráveis.
“Se você tem ghostscript *em qualquer lugar* em seus serviços de produção, provavelmente está vulnerável a uma execução remota de shell chocantemente trivial e deve atualizá-lo ou removê-lo de seus sistemas de produção”, alertou o desenvolvedor Bill Mill.
“A melhor mitigação contra esta vulnerabilidade é atualizar sua instalação do Ghostscript para v10.03.1. Se sua distribuição não fornecer a versão mais recente do Ghostscript, ela ainda pode ter lançado uma versão de patch contendo uma correção para esta vulnerabilidade (por exemplo, Debian, Ubuntu, Fedora)”, acrescentou Codean Labs.
Há um ano, os desenvolvedores do Ghostscript corrigiram outra falha crítica do RCE (CVE-2023-36664), também desencadeada pela abertura de arquivos criados com códigos maliciosos em sistemas não corrigidos.