Talløse nettsteder rammet av svært alvorlig sårbarhet

Det er nok å laste opp et «bilde» ...

Harald BrombachHarald BrombachNyhetsleder
4. mai 2016 - 10:11

Det har blitt funnet flere sårbarheter i ImageMagick som kan gi uvedkommende tilgang store mengder webservere. ImageMagick er et bibliotek som blant annet brukes av mange nettsteder i forbindelse med automatisert bildeprosessering.

Det skal være mulig å utnytte sårbarhetene til å kjøre vilkårlige kommandoer på serveren ved bare å laste opp en «falsk» bildefil, dersom filen senere prosesseres av ImageMagick til for eksempel å lage miniatyrbilder, beskjæringer eller lignende.

Angrepskode tilgjengelig

Ifølge HD Moore, sikkerhetsforskeren som også er grunnlegger av Metasploit, sier til CSO Online at Metasploit-moduler med angrepskode som utnytter sårbarhetene, vil bli utgitt i dag.

– Det er massevis av angrepsflate, sier Moore, som beskriver angrepsmetoden på denne måten:

Ofte kan filtypen til for eksempel en bildefil gjenkjennes ved å se på de første bytene i filen. Disse kalles noen ganger for «magic bytes» eller «file magic». Dersom man sender ImageMagick en fil med for eksempel .png som etternavn, men med et helt annet innhold, vil ImageMagick forsøke å dekode filen med ulike coders eller plugins, hvorav noen er sårbare og kan opprette skadelige filer lokalt på serveren – alt avhengig av hva den opplastede filen egentlig inneholder.

ImageTragick

Den første av sårbarhetene skal ha blitt funnet av en hacker som kaller seg for Stewie. Nikolai Ermishkin ved Mail.Ru Security Team skal deretter ha funnet flere problemer. Men det er i stor grad sikkerhetsingeniøren Ryan Huber hos Slack som har stått for det meste av kunngjøringene.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

Det meste av informasjonen har nå blitt flyttet over på et eget nettsted, ImageTragick, som også er kallenavnet på sårbarhetene.

Selv opplyser ImageMagick-prosjektet at det vil bli utgitt sikkerhetsoppdatering, ImageMagick 7.0.1-1 og 6.9.3-10, til helgen.

Inntil disse er tilgjengelige, ikke bare som kildekode, men også i andre løsninger som er basert på ImageMagick – blant annet PHPs imagick, Rubys rmagick og paperclip, samt imagemagick til node.js, kan man gjøre to tiltak som kan forhindre mulige angrep.

Midlertidig løsning

Det ene er å sikre at dataene i innkommende bildefiler begynner med de forventede «magiske bytene» som korresponderer med bildefiltypene man ønsker å støtte. Dette må skje før filene sendes til prosessering i ImageMagick.

Dessuten bør man deaktivere de sårbare ImageMagick-modulene. Hvordan dette gjøres, er oppgitt her.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra