首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 茶余饭后
    3. 发新帖
攻击者在ImageTragick中发现了新的漏洞
发表于: 2016-5-12 14:32 3401

攻击者在ImageTragick中发现了新的漏洞

huyud 活跃值
2016-5-12 14:32
3401
新闻链接:c48K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0G2j5X3q4G2i4K6u0W2x3K6j5H3i4K6u0W2j5$3&6Q4x3V1k6F1k6i4N6K6i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0r3x3K6l9K6y4g2)9J5k6h3S2@1L8h3H3`.
新闻时间:2016-05-12 13:15:31
新闻正文:据了解,安全研究人员在图像处理软件ImageMagick中发现了一个远程代码执行漏洞。而就在上周,这条消息变立刻传遍了全世界。恶意攻击者也立刻开始行动,并尝试在实际攻击中利用这一漏洞。根据一些相关研究报告提供的信息,这个漏洞具有非常大的潜力,攻击者可以利用这个漏洞来创建后门,或者利用命令控制台在目标服务器中执行shell代码。

ImageMagick是一款免费的图片处理软件,它可以创建,编辑,并且合成多种格式的图片。除此之外,用户还可以利用这款软件来对图片进行切割,颜色替换,以及实现各种复杂的特殊效果。ImageMagick是一款开源软件,可运行于大多数主流的操作系统之中。实际上,ImageMagick中的大多数功能都来源于命令行工具。

Mail.Ru公司是俄罗斯的一家互联网服务公司,该公司的安全分析专家Nikolay Ermishkin是第一个发现了这个漏洞的人。 他在接受SCMagazine.com的电子邮件采访时,对这一漏洞所能产生的安全威胁进行了详细的描述。

ImageMagick软件之所以会存在这样一个漏洞,是因为程序的user-added.mvg文件没有对输入参数进行足够有效地过滤处理。”.mvg”文件格式是ImageMagick程序的专用文件格式,它允许网站,博客,以及内容管理系统来处理并修改用户所添加的图片文件(例如用户上传的头像图片)。攻击者可以制作一个恶意的.mvg文件,并将其伪装成.jpgs图片以及其他格式的图片文件,然后利用这个漏洞,他们就可以在目标计算机中功能实现任意代码执行了。

Ermishkin告诉SCMagazine.com,在此之前,“漏洞猎人”Stewie展示了他能够利用.mvg文件来破解Mail.Ru公司的服务,并从公司的网络系统中读取文件。而他也正是在看完了Stewie的演示之后,才发现了这款图片处理软件。据了解,该公司在当天晚上就修复了这个漏洞,但是Ermishkin认为,这种类型的攻击方法是非常有趣的,所以他才决定花上几个晚上的时间来研究这个漏洞,并尝试寻找能够利用这一漏洞的其他方法。

在他成功发现了几个小漏洞之后,他便发现了这个存在于ImageTragick中的远程代码执行(RCE)漏洞,而这个漏洞的利用过程是十分简单的。Ermishkin解释称:“在公司发布漏洞补丁之前,你可以将这样的一张图片下载至文件托管服务器中,或者你也可以将其作为电子邮件附件发送给目标服务器,这样我们就可以在对方的服务器中执行任意代码了。你不需要具备专业的黑客技术,甚至连一个小孩子都可以将图片下载到这些地方。”

攻击者目前仍然可以利用这个漏洞来对没有及时更新升级的ImageMagick进行攻击,而且有几名IT研究人员已经对攻击者的攻击方式进行了非常详细的讲解了。(ImageMagick已经为6.9.3.10至7.0.1.1版本的软件提供了更新补丁,公司建议用户删除旧版本的ImageMagick,并下载和使用新版本软件。)

Daniel Cid是Sucuri公司的创始人兼首席技术官,他在接受SCMagazine.com的邮件采访时表示:“从安全研究人员的分析结果来看,攻击者似乎更倾向于利用这个漏洞来攻击线上论坛网站,因为这些网站通常都会允许用户注册并上传自定义的头像图片,而此时就得使用ImageTragick了。攻击者会尝试利用bash创建一个逆向shell脚本,而且他们还会尝试在服务器中下载恶意后门,并以此来获取到网站系统的访问权限。”除此之外,Cid还表示了他对此事的担忧:“网络犯罪分子可以利用这些论坛网站来窃取用户的个人数据,电子邮件,以及用户密码等信息。这将有可能导致用户其他的网络服务账号发生密码泄漏,而且攻击者还可以利用恶意软件和垃圾邮件来进行攻击。”

Sucuri公司在其发布的研究报告中提到了一个非常有趣的事情,安全研究人员发现,攻击者会使用机器人来扫描能够上传多个文件的URL链接。当机器人扫描到了一个URL地址之后,攻击payload能够向其发送一个伪装成.jpg图片的恶意软件。而这个恶意文件能够创建一个逆向shell脚本,攻击者可以利用这个脚本来与C&C服务器(该服务器的IP地址所在地位于台湾省)进行通信。

另外, CloudFlare公司还报道了ImageTragick攻击者目前最常使用的恶意payload。CloudFlare公司的程序员John Graham-Cumming在接受SCMagazine.com的采访时表示:“他们能够利用这种payload来完成对攻击目标的侦查和测试。他们会对某些特定的网站进行攻击和测试,以验证该网站是否存在漏洞。完成了这一步操作之后,他们还会在目标服务器中下载更加复杂的恶意软件,并进行下一步的攻击活动。”

除此之外,CloudFlare公司的安全研究人员还发现了一些其它的远程访问payload,其中就包括一个能够下载并执行Python代码的payload。攻击者可以利用这个payload,并通过shell程序直接与受感染的网站web服务器进行通信。在一个攻击实例中,攻击者将python程序隐藏在了目标计算机的内存之中,而不是计算机的硬盘上,因为安全防护软件会直接检测到硬盘中的恶意文件。而且Graham-Cumming还表示,在ImageTragick公司公布了关于这一漏洞的信息之后,CloudFlare便立刻开始对恶意的“.mvg”payload进行扫描和监测,并检测相关的攻击行为。

Ermishkin说到:“两年前,研究人员还曾开玩笑地说,是时候应该在ImageMagick中寻找一下漏洞了。而现在,ImageMagick中的远程代码执行漏洞已经成为了既定的事实。程序的开发人员在设计该项目的架构时,就应该考虑到这种攻击发生的可能性。因此,我们应该在沙箱环境中处理接收到的用户数据,这样才能防止攻击者利用这一漏洞来对你的网站服务进行攻击。”

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
butyou
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
imagemagick 命令注入漏洞(CVE-2016-5118)
发布日期:2016-05-13
更新日期:2016-06-02

受影响系统:

ImageMagick ImageMagick
描述:

CVE(CAN) ID: CVE-2016-5118

ImageMagick是一款Unix/Linux平台下开源的图像查看和编辑工具。

ImageMagick在filenames中使用了(|)存在命令注入漏洞,可导致以当前用户权限执行任意命令。

<*来源:Bob Friesenhahn
 
  *>

建议:

厂商补丁:

ImageMagick
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

57fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3W2E0j5h3N6W2L8h3q4Y4K9h3y4C8i4K6u0W2L8%4u0Y4i4K6u0r3

6a7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2V1k6h3u0A6j5h3&6Q4x3X3g2G2M7X3N6Q4x3V1k6K6k6h3y4#2M7X3W2@1P5g2)9J5c8R3`.`.

24bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4W2j5$3I4A6M7%4c8K6i4K6u0W2L8%4u0Y4i4K6u0r3L8%4y4K6i4K6u0V1M7$3g2U0i4K6u0r3x3U0l9I4y4W2)9J5c8Y4p5J5i4K6u0r3y4o6x3J5

相关阅读:

利用ImageMagick绘制三基色原理图 44dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4A6L8Y4g2^5K9h3c8U0i4K6u0W2j5$3!0E0i4K6u0r3e0r3W2F1N6i4S2Q4x3V1j5J5x3o6p5J5i4K6u0V1x3o6W2Q4x3V1j5%4x3o6l9H3y4#2)9J5k6h3S2@1L8b7`.`.

Linux下PHP支持ImageMagick和MagicWandForPHP 688K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4A6L8Y4g2^5K9h3c8U0i4K6u0W2j5$3!0E0i4K6u0r3e0r3W2F1N6i4S2Q4x3V1j5J5x3o6p5I4i4K6u0V1x3o6q4Q4x3V1j5K6x3e0f1K6z5g2)9J5k6h3S2@1L8b7`.`.

Linux下用ImageMagick玩图像魔术 83eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4A6L8Y4g2^5K9h3c8U0i4K6u0W2j5$3!0E0i4K6u0r3e0r3W2F1N6i4S2Q4x3V1j5J5x3o6p5H3i4K6u0V1x3o6k6Q4x3V1j5J5y4U0V1J5x3g2)9J5k6h3S2@1L8b7`.`.

Linux下ImageMagick和MagicWand For PHP的安装 137K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4A6L8Y4g2^5K9h3c8U0i4K6u0W2j5$3!0E0i4K6u0r3e0r3W2F1N6i4S2Q4x3V1j5J5x3o6l9^5i4K6u0V1x3o6N6Q4x3V1j5I4y4o6f1J5y4g2)9J5k6h3S2@1L8b7`.`.

Linux下ImageMagick和JMagick的安装整理 afbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4A6L8Y4g2^5K9h3c8U0i4K6u0W2j5$3!0E0i4K6u0r3e0r3W2F1N6i4S2Q4x3V1j5J5x3o6l9^5i4K6u0V1x3o6W2Q4x3V1j5I4y4e0j5@1z5g2)9J5k6h3S2@1L8b7`.`.

ImageMagick 的详细介绍:请点这里
ImageMagick 的下载地址:请点这里

本文永久更新链接地址:2a6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4A6L8Y4g2^5K9h3c8U0i4K6u0W2j5$3!0E0i4K6u0r3e0r3W2F1N6i4S2Q4x3V1j5J5x3o6p5$3i4K6u0V1x3o6k6Q4x3V1j5I4x3K6p5&6z5o6N6Q4x3X3g2Z5N6r3@1`.
2016-6-3 23:25
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回