Linux sistemlerinde yaygın olarak kullanılan Ghostscript belge dönüştürme araç setindeki uzaktan kod yürütme güvenlik açığı, şu anda saldırılarda kullanılıyor.
Ghostscript birçok Linux dağıtımına önceden yüklenmiş olarak gelir ve ImageMagick, LibreOffice, GIMP, Inkscape, Scribus ve CUPS yazdırma sistemi de dahil olmak üzere çeşitli belge dönüştürme yazılımları tarafından kullanılır.
CVE-2024-29510 olarak izlenen bu biçim dizesi güvenlik açığı tüm Ghostscript 10.03.0 ve önceki kurulumları etkiler. Saldırganların -dSAFER deneme alanından (varsayılan olarak etkindir) kaçmasına olanak tanır çünkü yama uygulanmamış Ghostscript sürümleri deneme alanı etkinleştirildikten sonra uniprint aygıt argüman dizelerindeki değişiklikleri engelleyemez.
Bu güvenlik açığı özellikle tehlikelidir çünkü bu sayede, normalde sandbox tarafından engellenecek olan Ghostscript Postscript yorumlayıcısını kullanarak komut yürütme ve dosya G/Ç’si gibi yüksek riskli işlemler gerçekleştirilebilir.
Güvenlik açığını keşfeden ve bildiren Codean Labs güvenlik araştırmacıları, “Bu güvenlik açığı, belge dönüştürme ve önizleme işlevleri sunan web uygulamaları ve diğer hizmetler üzerinde önemli bir etkiye sahip, çünkü bunlar genellikle arka planda Ghostscript kullanıyor” uyarısında bulundu.
“Çözümünüzün (dolaylı olarak) Ghostscript’i kullanıp kullanmadığını doğrulamanızı ve kullanıyorsa en son sürüme güncellemenizi öneririz.”
Codean Labs ayrıca savunmacıların sistemlerinin CVE-2023-36664 saldırılarına karşı savunmasız olup olmadığını tespit etmelerine yardımcı olabilecek şu Postscript dosyasını da paylaştı:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
Saldırılarda aktif olarak sömürüldü
Ghostscript geliştirme ekibi güvenlik açığını mayıs ayında düzeltirken, Codean Labs iki ay sonra teknik detaylar ve kavram kanıtı istismar kodunun yer aldığı bir yazı yayınladı.
Saldırganlar, savunmasız sistemlere kabuk erişimi elde etmek için JPG (görüntü) dosyaları gibi kamufle edilmiş EPS (PostScript) dosyalarını kullanarak CVE-2024-29510 Ghostscript güvenlik açığını halihazırda istismar ediyor.
Geliştirici Bill Mill, “Üretim hizmetlerinizin *herhangi bir yerinde* ghostscript varsa, muhtemelen şok edici derecede basit bir uzaktan kabuk yürütmesine karşı savunmasızsınızdır ve onu yükseltmeli veya üretim sistemlerinizden kaldırmalısınız,” uyarısında bulundu.
“Bu güvenlik açığına karşı en iyi önlem, Ghostscript kurulumunuzu v10.03.1’e güncellemektir. Dağıtımınız en son Ghostscript sürümünü sağlamıyorsa, yine de bu güvenlik açığı için bir düzeltme içeren bir yama sürümü yayınlamış olabilir (örneğin, Debian, Ubuntu, Fedora),” diye ekledi Codean Labs.
Ghostscript geliştiricileri bir yıl önce, yama uygulanmamış sistemlerde kötü amaçlı oluşturulmuş dosyaların açılmasıyla tetiklenen başka bir kritik RCE açığını (CVE-2023-36664) yamaladılar.