.
Os círculos de segurança da informação estão inundados de conversas sobre uma vulnerabilidade no Ghostscript que alguns especialistas acreditam que pode ser a causa de várias violações importantes nos próximos meses.
Ghostscript é um interpretador Postscript e Adobe PDF que permite que usuários de *nix, Windows, MacOS e vários sistemas operacionais e plataformas embarcados visualizem, imprimam e convertam PDFs e arquivos de imagem. É uma instalação padrão em muitas distros, além de ser usado indiretamente por outros pacotes para dar suporte a operações de impressão ou conversão.
Rastreado como CVE-2024-29510 (a Tenable o designou como CVSS 5.5 – médio), o bug da string de formato foi relatado originalmente à equipe do Ghostscript em março e posteriormente mitigado na versão 10.03.1 de abril do interpretador de código aberto para arquivos PostScript e PDF.
No entanto, o blog do pesquisador que descobriu a falha desencadeou a primeira grande onda de interesse na vulnerabilidade desde que ela se tornou pública.
Thomas Rinsma, analista de segurança líder da empresa de segurança holandesa Codean Labs, encontrou uma maneira de obter execução remota de código (RCE) em máquinas que executam Ghostscript após ignorar o sandbox -dSAFER.
“Essa vulnerabilidade tem impacto significativo em aplicativos da web e outros serviços que oferecem funcionalidades de conversão e visualização de documentos, já que eles geralmente usam o Ghostscript por baixo dos panos”, disse Rinsma.
Aqui ele está se referindo ao amplo uso do Ghostscript na web. Mais comumente, ele é encontrado alimentando funcionalidades como pré-visualização de imagens em armazenamento em nuvem e programas de bate-papo, e é frequentemente invocado quando essas imagens são renderizadas. Ele também é muito usado em tarefas como conversão e impressão de PDF, e pode ser encontrado alimentando fluxos de trabalho de reconhecimento óptico de caracteres (OCR) também.
“É o tipo de software que é tão essencial para tantas soluções mais amplas que sua existência é frequentemente considerada garantida”, disse Stephen Robinson, analista sênior de inteligência de ameaças da WithSecure. O registro.
Conforme o Ghostscript se tornou mais popular, a equipe de desenvolvimento por trás do projeto fez a chamada para implementar capacidades de sandboxing cada vez mais reforçadas, Rinsma acrescentou. O sandbox -dSAFER é habilitado por padrão e normalmente impede que operações potencialmente perigosas, como execução de comando, ocorram.
Os detalhes técnicos completos por trás do exploit podem ser encontrados no blog do pesquisador, incluindo o link para baixar um exploit de prova de conceito (PoC) para Linux (x86-64), mas o resumo é que ele pode permitir que invasores leiam e gravem arquivos arbitrariamente e obtenham RCE em um sistema afetado.
Respondendo a um tópico de discussão sobre o PoC da Rinsma, o pesquisador confirmou que ele não funcionará para todos imediatamente, pois o código assume uma série de coisas, como deslocamentos de pilha e estrutura, que podem variar dependendo do sistema de destino.
“O PoC que o Codean Labs compartilhou é um arquivo EPS, então qualquer serviço de conversão de imagem ou fluxo de trabalho compatível com EPS pode ser explorado para obter RCE”, disse Robinson.
“Embora o CVE não tenha sido analisado pelo NVD, a Tenable o lista como uma vulnerabilidade local que requer interação do usuário e que não apresenta risco de afetar a integridade ou a disponibilidade, apenas a confidencialidade.”
Especialistas soam o alarme
Autoridades de segurança cibernética deram continuidade à pesquisa da Rinsma esta semana e foram rápidos em apontar os perigos potenciais que a cercam e como sua classificação de gravidade atribuída pode não revelar o quadro completo.
A desaceleração no Banco de Dados Nacional de Vulnerabilidades (NVD) parece estar se manifestando neste caso.
Bob Rudis, vice-presidente de ciência de dados da GreyNoise, disse que os avisos e as avaliações de gravidade que os acompanham, de empresas como Tenable e Red Hat (ambas classificaram o bug como 5.5 usando CVSS 3.0) estavam errando o alvo em alguns aspectos.
Ou seja, Rudis e outros observadores acreditam que nenhuma interação do usuário é necessária para que o exploit seja bem-sucedido. Tanto a Red Hat quanto a Tenable avaliaram o oposto como sendo o caso, uma decisão que, se incorreta, significaria que a pontuação de gravidade está atualmente mais baixa do que deveria ser.
“Comparando isso com o CVE-2023-36664, um RCE anterior do GhostScript, que foi listado como de alto risco para integridade, disponibilidade e confidencialidade, parece mais correto para um RCE”, disse Robinson.
“É verdade que o arquivo deve ser local e que o processo deve ser iniciado, mas como o Ghostscript é frequentemente incluído em fluxos de trabalho automatizados que processam arquivos não confiáveis, essa vulnerabilidade pode ser mais grave do que a pontuação base CVSS 3.0 de 5,5 que a Tenable atribuiu a ela.”
As organizações usam o programa CVE e as pontuações de gravidade que o acompanham como guias rápidos sobre quanta prioridade a correção de certas vulnerabilidades deve ter. Quando os bugs não são avaliados adequadamente, abre-se a possibilidade de que patches e mitigações não sejam aplicados com a urgência necessária.
Só o fato de que o setor só recentemente acordou para a gravidade dessa vulnerabilidade específica, meses depois de ela ter sido corrigida, é uma evidência de que avaliações precisas de gravidade são extremamente importantes para o setor de segurança da informação.
Rudis também disse que espera receber de 5 a 10 notificações de organizações que oferecem o ano habitual de monitoramento de crédito gratuito após uma violação material nos próximos seis meses.
Bill Mill, um desenvolvedor full stack na ReadMe, disse que já viu ataques na natureza. Então, agora que um PoC foi lançado – que Mill classificou como “trivial” de explorar – e muita atenção está no CVE-2024-29510, aplicar esses patches deve ser a principal prioridade de qualquer organização.
Problema em dobro
É a segunda vez em 12 meses que um RCE preocupante é divulgado no Ghostscript. Em julho do ano passado, PoCs para CVE-2023-36664 chegaram às manchetes depois que os pesquisadores da Kroll publicaram uma investigação sobre o bug.
Este foi classificado como 9,8 na escala de gravidade – uma falha crítica que as equipes de segurança dificilmente deixariam passar a oportunidade de corrigir. Tudo o que era necessário para explorá-lo era convencer um alvo a abrir um arquivo malicioso.
Preocupação abundou na época, como aconteceu esta semana, principalmente sobre a percepção de quão prevalente o Ghostscript é no software moderno. Kroll disse que o Debian 12 tinha 131 pacotes que dependiam do Ghostscript e aplicativos populares como aqueles no pacote LibreOffice também fazem uso do interpretador. ®
.
