Actualmente se está aprovechando una vulnerabilidad de ejecución remota de código (RCE) en el kit de herramientas de conversión de documentos Ghostscript, ampliamente utilizado en sistemas Linux.
Ghostscript viene preinstalado en muchas distribuciones de Linux y lo utilizan varios programas de conversión de documentos, incluidos ImageMagick, LibreOffice, GIMP, Inkscape, Scribus y el sistema de impresión CUPS.
Registrada como CVE-2024-29510, esta vulnerabilidad de formato de cadena afecta a todas las instalaciones de Ghostscript 10.03.0 y anteriores. Esta omisión de seguridad es especialmente peligrosa ya que les permite realizar operaciones de alto riesgo, como la ejecución de comandos y la E/S de archivos, utilizando el intérprete Ghostscript Postscript, que el sandbox normalmente bloquearía.
"Esta vulnerabilidad tiene un impacto significativo en las aplicaciones web y otros servicios que ofrecen conversión de documentos y funcionalidades de vista previa, ya que a menudo utilizan Ghostscript bajo el capó", advirtieron los investigadores de seguridad de Codean Labs que descubrieron e informaron sobre la vulnerabilidad de seguridad. "Recomendamos verificar si su solución (indirectamente) utiliza Ghostscript y, de ser así, actualizarla a la última versión".
Codean Labs también compartió este archivo Postscript que puede ayudar a los defensores a detectar si sus sistemas son vulnerables a ataques CVE-2023-36664 ejecutándolo con el siguiente comando:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.psSi bien el equipo de desarrollo de Ghostscript solucionó el problema de seguridad en mayo, Codean Labs publicó un artículo con detalles técnicos y un código de explotación de prueba de concepto dos meses después.
Los atacantes ya están explotando la vulnerabilidad CVE-2024-29510 Ghostscript, utilizando archivos EPS (PostScript) camuflados como archivos JPG (imagen) para obtener acceso de shell a los sistemas vulnerables.
"Si tiene Ghostscript *en cualquier lugar* en sus servicios de producción, probablemente sea vulnerable a una ejecución remota de código sorprendentemente trivial, y debería actualizarlo o eliminarlo de sus sistemas de producción", advirtió el desarrollador Bill Mill.
La mejor mitigación contra esta vulnerabilidad es actualizar su instalación de
Ghostscript a v10.03.1 o superior. Por ejemplo,
Debian,
Ubuntu,
Fedora.
Hace un año, los desarrolladores de
Ghostscript parchearon otra falla crítica de RCE (CVE-2023-36664)
que también se activa al abrir archivos creados con fines malintencionados en
sistemas sin parches.
Fuente: BC