بهره‌برداری مهاجمان از آسیب‌پذیری RCE در Ghostscript

بهره‌برداری مهاجمان از آسیب‌پذیری RCE در Ghostscript

تاریخ ایجاد

یک آسیب‌پذیری اجرای کد از راه دور در کتابخانه تبدیل اسناد Ghostscript وجود دارد که در سیستم‌های لینوکسی به طور وسیع از آن استفاده می‌شود و به طور پیش‌فرض بر روی اکثر توزیع‌های لینوکس نصب است. مهاجمان در حال بهره‌برداری از این آسیب‌پذیری با شناسه CVE-2024-29510 می‌باشند. این حمله با استفاده از فایل‌های EPS (PostScript) انجام می‌شود که به عنوان یک عکس JPG خود را جا می‌زنند و پس از اجرا دسترسی shell برای مهاجم فراهم می‌شود.
کتابخانه Ghostscript که به طور پیش‌فرض بر روی اکثر توزیع‌های لینوکس نصب است، توسط بسیاری از برنامه‌ها مانند ImageMagick، LibreOffice، GIMP، Inkscape، Scribus و سیستم پرینت CUPS مورد استفاده قرار می‌گیرد. این آسیبپذیری به مهاجمان اجازه می‌دهد جعبه شنی -dSAFER را دور بزنند زیرا نسخه‌های وصله نشده Ghostscript در جلوگیری از تغییر در رشته‌های آرگومان uniprint device بعد از فعال شدن جعبه شنی موفق نیستند. این حمله اجازه اجرای عملیاتی مانند اجرای کد و file I/O را با استفاده از مفسر Ghostscript Postscript فراهم می‌کند درحالی که معمولاً جعبه شنی باید جلوی آن را بگیرد.
برنامه‌های تحت وب و سایر سرویس‌هایی که تبدیل اسناد با کمک Ghostscript را فراهم می‌کنند تحت تاثیر این آسیب‌پذیری قرار دارند.

نسخه‌های تحت تاثیر
نسخه 10.03.0 و قبل‌تر کتابخانه Ghostscript تحت تاثیر این آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی
جهت تشخیص آسیب‌پذیر بودن سیستم ابتدا کدهای زیر را در یک فایل به نام CVE-2024-29510_testkit.ps ذخیره نمایید:
 

1

سپس دستور زیر را اجرا نمایید:

ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps

در صورت آسیب‌پذیر بودن پیغام زیر نمایش داده می‌شود:
 

2

در صورت آسیب‌پذیر بودن در توزیع ubuntu می‌توانید با دستورات زیر سیستم را به‌روزرسانی نمایید:

sudo apt update
sudo apt full-upgrade

پس از اجرای دستورات فوق دوباره اسکریپت را اجرا می‌کنیم و مشاهده می‌کنیم که آسیب‌پذیری برطرف شده است:
 

3

منابع خبر:


[1] https://www.bleepingcomputer.com/news/security/rce-bug-in-widely-used-ghostscript-library-now-explo…
[2] https://vulnera.com/newswire/ghostscript-librarys-rce-bug-now-being-exploited-in-attacks
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-29510