Ghostscript, un conjunto de herramientas para procesar, convertir y generar documentos en formatos PostScript y PDF, tiene una vulnerabilidad crítica (CVE-2021-3781) que permite la ejecución de código arbitrario al procesar un archivo con formato especial. Inicialmente, el problema llamó la atención de Emil Lerner, quien habló sobre la vulnerabilidad el 25 de agosto en la conferencia ZeroNights X celebrada en San Petersburgo (el informe describió cómo Emil, como parte de los programas de recompensas por errores, utilizó la vulnerabilidad para recibir bonificaciones por demostrar ataques a los servicios AirBNB, Dropbox y Yandex.Real Estate).
El 5 de septiembre, apareció en el dominio público un exploit funcional que permite atacar sistemas que ejecutan Ubuntu 20.04 transmitiendo un documento especialmente diseñado cargado como una imagen a un script web que se ejecuta en el servidor utilizando el paquete php-imagemagick. Además, según datos preliminares, desde marzo se utiliza un exploit similar. Se afirmó que los sistemas que ejecutaban GhostScript 9.50 podrían ser atacados, pero resultó que la vulnerabilidad estaba presente en todas las versiones posteriores de GhostScript, incluida la versión 9.55 en desarrollo de Git.
La solución se propuso el 8 de septiembre y, después de la revisión por pares, se aceptó en el repositorio de GhostScript el 9 de septiembre. En muchas distribuciones, el problema sigue sin solucionarse (el estado de publicación de las actualizaciones se puede consultar en las páginas de Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD). Está previsto publicar una versión de GhostScript con una solución para la vulnerabilidad antes de fin de mes.
El problema se debe a la posibilidad de omitir el modo de aislamiento "-dSAFER" debido a una verificación insuficiente de los parámetros del dispositivo Postscript "%pipe%", que permitía la ejecución de comandos de shell arbitrarios. Por ejemplo, para iniciar la utilidad id en un documento, simplemente especifique la línea “(%pipe%/tmp/&id)(w)file” o “(%pipe%/tmp/;id)(r)file”.
Le recordamos que las vulnerabilidades en Ghostscript representan un peligro mayor, ya que este paquete se utiliza en muchas aplicaciones populares para procesar formatos PostScript y PDF. Por ejemplo, se llama a Ghostscript durante la creación de miniaturas en el escritorio, la indexación de datos de fondo y la conversión de imágenes. Para que un ataque tenga éxito, en muchos casos basta con descargar el archivo con el exploit o ver el directorio que contiene en un administrador de archivos que admita la visualización de miniaturas de documentos, por ejemplo, en Nautilus.
Las vulnerabilidades en Ghostscript también se pueden explotar a través de procesadores de imágenes basados en los paquetes ImageMagick y GraphicsMagick pasándoles un archivo JPEG o PNG que contenga código PostScript en lugar de una imagen (dicho archivo se procesará en Ghostscript, ya que el tipo MIME es reconocido por el contenido y sin depender de la extensión).
Fuente: opennet.ru