据了解,安全研究人员在图像处理软件ImageMagick中发现了一个远程代码执行漏洞。而就在上周,这条消息变立刻传遍了全世界。恶意攻击者也立刻开始行动,并尝试在实际攻击中利用这一漏洞。根据一些相关研究报告提供的信息,这个漏洞具有非常大的潜力,攻击者可以利用这个漏洞来创建后门,或者利用命令控制台在目标服务器中执行shell代码。
ImageMagick是一款免费的图片处理软件,它可以创建,编辑,并且合成多种格式的图片。除此之外,用户还可以利用这款软件来对图片进行切割,颜色替换,以及实现各种复杂的特殊效果。ImageMagick是一款开源软件,可运行于大多数主流的操作系统之中。实际上,ImageMagick中的大多数功能都来源于命令行工具。
Mail.Ru公司是俄罗斯的一家互联网服务公司,该公司的安全分析专家Nikolay Ermishkin是第一个发现了这个漏洞的人。 他在接受SCMagazine.com的电子邮件采访时,对这一漏洞所能产生的安全威胁进行了详细的描述。
ImageMagick软件之所以会存在这样一个漏洞,是因为程序的user-added.mvg文件没有对输入参数进行足够有效地过滤处理。”.mvg”文件格式是ImageMagick程序的专用文件格式,它允许网站,博客,以及内容管理系统来处理并修改用户所添加的图片文件(例如用户上传的头像图片)。攻击者可以制作一个恶意的.mvg文件,并将其伪装成.jpgs图片以及其他格式的图片文件,然后利用这个漏洞,他们就可以在目标计算机中功能实现任意代码执行了。
Ermishkin告诉SCMagazine.com,在此之前,“漏洞猎人”Stewie展示了他能够利用.mvg文件来破解Mail.Ru公司的服务,并从公司的网络系统中读取文件。而他也正是在看完了Stewie的演示之后,才发现了这款图片处理软件。据了解,该公司在当天晚上就修复了这个漏洞,但是Ermishkin认为,这种类型的攻击方法是非常有趣的,所以他才决定花上几个晚上的时间来研究这个漏洞,并尝试寻找能够利用这一漏洞的其他方法。
在他成功发现了几个小漏洞之后,他便发现了这个存在于ImageTragick中的远程代码执行(RCE)漏洞,而这个漏洞的利用过程是十分简单的。Ermishkin解释称:“在公司发布漏洞补丁之前,你可以将这样的一张图片下载至文件托管服务器中,或者你也可以将其作为电子邮件附件发送给目标服务器,这样我们就可以在对方的服务器中执行任意代码了。你不需要具备专业的黑客技术,甚至连一个小孩子都可以将图片下载到这些地方。”
攻击者目前仍然可以利用这个漏洞来对没有及时更新升级的ImageMagick进行攻击,而且有几名IT研究人员已经对攻击者的攻击方式进行了非常详细的讲解了。(ImageMagick已经为6.9.3.10至7.0.1.1版本的软件提供了更新补丁,公司建议用户删除旧版本的ImageMagick,并下载和使用新版本软件。)
Daniel Cid是Sucuri公司的创始人兼首席技术官,他在接受SCMagazine.com的邮件采访时表示:“从安全研究人员的分析结果来看,攻击者似乎更倾向于利用这个漏洞来攻击线上论坛网站,因为这些网站通常都会允许用户注册并上传自定义的头像图片,而此时就得使用ImageTragick了。攻击者会尝试利用bash创建一个逆向shell脚本,而且他们还会尝试在服务器中下载恶意后门,并以此来获取到网站系统的访问权限。”除此之外,Cid还表示了他对此事的担忧:“网络犯罪分子可以利用这些论坛网站来窃取用户的个人数据,电子邮件,以及用户密码等信息。这将有可能导致用户其他的网络服务账号发生密码泄漏,而且攻击者还可以利用恶意软件和垃圾邮件来进行攻击。”
Sucuri公司在其发布的研究报告中提到了一个非常有趣的事情,安全研究人员发现,攻击者会使用机器人来扫描能够上传多个文件的URL链接。当机器人扫描到了一个URL地址之后,攻击payload能够向其发送一个伪装成.jpg图片的恶意软件。而这个恶意文件能够创建一个逆向shell脚本,攻击者可以利用这个脚本来与C&C服务器(该服务器的IP地址所在地位于台湾省)进行通信。
另外, CloudFlare公司还报道了ImageTragick攻击者目前最常使用的恶意payload。CloudFlare公司的程序员John Graham-Cumming在接受SCMagazine.com的采访时表示:“他们能够利用这种payload来完成对攻击目标的侦查和测试。他们会对某些特定的网站进行攻击和测试,以验证该网站是否存在漏洞。完成了这一步操作之后,他们还会在目标服务器中下载更加复杂的恶意软件,并进行下一步的攻击活动。”
除此之外,CloudFlare公司的安全研究人员还发现了一些其它的远程访问payload,其中就包括一个能够下载并执行Python代码的payload。攻击者可以利用这个payload,并通过shell程序直接与受感染的网站web服务器进行通信。在一个攻击实例中,攻击者将python程序隐藏在了目标计算机的内存之中,而不是计算机的硬盘上,因为安全防护软件会直接检测到硬盘中的恶意文件。而且Graham-Cumming还表示,在ImageTragick公司公布了关于这一漏洞的信息之后,CloudFlare便立刻开始对恶意的“.mvg”payload进行扫描和监测,并检测相关的攻击行为。
Ermishkin说到:“两年前,研究人员还曾开玩笑地说,是时候应该在ImageMagick中寻找一下漏洞了。而现在,ImageMagick中的远程代码执行漏洞已经成为了既定的事实。程序的开发人员在设计该项目的架构时,就应该考虑到这种攻击发生的可能性。因此,我们应该在沙箱环境中处理接收到的用户数据,这样才能防止攻击者利用这一漏洞来对你的网站服务进行攻击。”