В начале мая 2016 года в пакете ImageMagick была обнаружена опасная уязвимость, которой присвоили имя ImageTragick. По сути, баг позволяет атакующему добиться от удаленного сервера выполнения произвольного кода, и для этого достаточно просто загрузить на сервер специально подготовленное изображение. Специалисты компаний CloudFlare и Sucuri сообщили, что эксплоиты для проблемы ImageTragick уже созданы и активно используются злоумышленниками.
На прошлой неделе информацию о проблеме ImageTragick (а именно об уязвимости CVE-2016-3714) опубликовали еще до релиза официального патча. Сообщалось, что баг уже эксплуатируют злоумышленники. Исследователи и разработчики ImageMagick надеялись, что обнародовав информацию о новом 0-day, они помогут администраторам сайтов избежать атак хакеров. Никаких подробностей, впрочем, на прошлой неделе не раскрывали, поэтому эксперты CloudFlare и Sucuri взялись за изучение вопроса самостоятельно.
Удачные и не очень попытки эксплуатации уязвимости зафиксировали исследователи обеих компаний. Специалисты сообщают, что злоумышленники активно сканируют интернет, в поисках уязвимых ресурсов, в частности, на предмет ImageTragick проверяют /upload.php и /imgupload.php. Когда потенциальная цель найдена, то есть обнаружен ресурс, разрешающий загрузку изображений без аутентификации, атакующие загружают на сервер вредоносный файл JPG. В частности, эксперты Sucuri рассказали, что ими были замечены атаки на форумные платформы vBulletin и IP.Board. Эти атаки быстро эволюционируют и, похоже, уже были автоматизированы предприимчивыми хакерами.
Starting to see quite a few ImageMagick #ImageTragick attempts against "/profile.php?do=updateavatar" on vBulletin sites.
— Daniel Cid (@danielcid) May 8, 2016
In addtiion to vBulletin, seeing a few #ImageTragick attempts against "app=members&module=profile§ion=photo&do=save" on IP.Board
— Daniel Cid (@danielcid) May 9, 2016
«Вместо обычного JPG-изображения (как можно было ожидать, исходя из типа файла), атакующие модифицируют содержимое файла, подменяя контент на MVG»,— рассказывает эксперт Sucuri Дэниел Сид (Daniel Cid). — «Как вы понимаете, RCE-уязвимость как раз связана с тем, как обрабатываются MVG-файлы. Это позволяет атакующему выйти за рамки процесса обработки изображения и выполнить собственные shell-команды».
У себя в твиттере Дэниел Сид вообще предложил всем администраторам избавиться от ImageMagick, а не пытаться патчить его и вносить какие-то исправления.
Good details on the ImageMagick vuln: https://t.co/PLNvN6LYcU --> Safer to just remove it altogether than trying to patch all of that
— Daniel Cid (@danielcid) May 3, 2016
Специалисты CloudFlare, в свою очередь, заметили ряд разных эксплоитов. Некоторые из них просто проверяют серверы на уязвимость ImageTragick, другие более опасны. При этом исследователи пишут, что невзирая на широкое распространение эксплоитов, им пока не известного ни одного случая фактического взлома и компрометации сайта через уязвимость в ImageMagick.
«Все эти пейлоады созданы для того, чтобы предоставить атакующим свободный доступ к уязвимому веб-серверу. При помощи одного эксплоита они могут получить удаленный доступ, а затем на досуге могут продолжить взлом уязвимого сервера», — поясняет эксперт CloudFlare Джон Грем-Камминг (John Graham-Cumming).
Хотя фактического исправления для уязвимости все еще нет, команда разработчиков ImageMagick советует администраторам сайтов предпринять пару простых шагов, которые помогут избежать атак. Похожий список советов опубликовали и разработчики WordPress.
Фото: ImageMagick
