La vulnérabilité Ghostscript activement exploitée dans les attaques
Une importante vulnérabilité d'exécution de code à distance (RCE) a été identifiée dans la bibliothèque Ghostscript, un outil largement utilisé sur les systèmes Linux. Cette vulnérabilité, répertoriée sous le nom de CVE-2024-29510, est actuellement exploitée dans le cadre d'attaques, ce qui représente un risque grave pour de nombreux services et applications.
Ghostscript est un outil puissant et polyvalent utilisé pour traiter les fichiers PostScript et PDF. Il est préinstallé sur de nombreuses distributions Linux et est intégré à divers logiciels de conversion de documents, notamment ImageMagick, LibreOffice, GIMP, Inkscape, Scribus et le système d'impression CUPS.
CVE-2024-29510 - La vulnérabilité Ghostscript
La vulnérabilité CVE-2024-29510 est un défaut de chaîne de format qui affecte toutes les installations Ghostscript 10.03.0 et antérieures. Ce problème de sécurité permet aux attaquants de contourner le bac à sable -dSAFER, une mesure de protection activée par défaut. Les versions non corrigées de Ghostscript ne parviennent pas à empêcher les modifications des chaînes d'arguments du périphérique uniprint après l'activation du bac à sable. Par conséquent, les attaquants peuvent effectuer des opérations à haut risque, telles que l'exécution de commandes et l'entrée/sortie de fichiers, que le bac à sable est censé bloquer.
Impact et exploitation
Le contournement de la sécurité rendu possible par cette vulnérabilité est particulièrement dangereux. Il permet aux attaquants d'exécuter des commandes arbitraires et de manipuler des fichiers sur le système cible en utilisant l'interpréteur PostScript Ghostscript. Cela a des implications considérables pour les applications et services web qui s'appuient sur Ghostscript pour les fonctionnalités de conversion et de prévisualisation de documents.
Les attaquants exploitent activement la vulnérabilité Ghostscript en utilisant des fichiers EPS (PostScript) déguisés en fichiers JPG (image). Cette technique leur permet d'accéder en shell aux systèmes vulnérables. Le développeur Bill Mill a souligné la gravité du problème en déclarant : "Si vous avez ghostscript *n'importe où* dans vos services de production, vous êtes probablement vulnérable à une exécution shell à distance scandaleusement triviale, et vous devriez le mettre à jour ou le supprimer de vos systèmes de production".
Détection et atténuation
Codean Labs a fourni un fichier PostScript qui peut aider les défenseurs à détecter si leurs systèmes sont vulnérables aux attaques CVE-2024-29510. L'exécution de la commande suivante avec le fichier fourni peut indiquer la présence de la vulnérabilité :
ghostscript -1 -dNODISPLAY -dBATCH Cve-2024-29510_testkit.ps
L'équipe de développement de Ghostscript a corrigé la faille de sécurité en mai. Cependant, malgré la disponibilité d'un correctif, les attaquants continuent d'exploiter les systèmes non corrigés. Codean Labs recommande de mettre à jour Ghostscript vers la version 10.03.1 pour réduire le risque. Si la dernière version n'est pas disponible pour votre distribution, recherchez une version corrigée qui corrige cette vulnérabilité, car de nombreuses distributions comme Debian, Ubuntu et Fedora ont publié des mises à jour.
Conclusion
L'exploitation active de cette vulnérabilité de Ghostscript souligne le besoin critique de mises à jour logicielles et de correctifs de sécurité en temps opportun. En raison de l'utilisation répandue de Ghostscript dans le traitement de documents et les services web, cette faille constitue une menace importante. Les administrateurs de systèmes et les utilisateurs doivent prendre des mesures immédiates pour sécuriser leurs systèmes en mettant à jour Ghostscript avec la dernière version corrigée.
Les sources de cet article comprennent un article de BleepingComputer.