Une vulnérabilité d’exécution de code à distance dans la boîte à outils de conversion de documents Ghostscript, largement utilisée sur les systèmes Linux, est actuellement exploitée dans des attaques.

Ghostscript est préinstallé sur de nombreuses distributions Linux et est utilisé par divers logiciels de conversion de documents, notamment ImageMagick, LibreOffice, GIMP, Inkscape, Scribus et le système d’impression CUPS.

Identifiée comme CVE-2024-29510, cette vulnérabilité de chaîne de format affecte toutes les installations Ghostscript 10.03.0 et antérieures. Il permet aux attaquants d’échapper au bac à sable-dSAFER (activé par défaut) car les versions Ghostscript non corrigées n’empêchent pas les modifications des chaînes d’arguments du périphérique uniprint après l’activation du bac à sable.

Ce contournement de sécurité est particulièrement dangereux car il leur permet d’effectuer des opérations à haut risque, telles que l’exécution de commandes et les E/S de fichiers, à l’aide de l’interpréteur Postscript Ghostscript, que le bac à sable bloquerait généralement.

« Cette vulnérabilité a un impact significatif sur les applications Web et autres services offrant des fonctionnalités de conversion de documents et de prévisualisation, car ceux-ci utilisent souvent Ghostscript sous le capot », ont averti les chercheurs en sécurité de Codean Labs qui ont découvert et signalé la vulnérabilité de sécurité.

« Nous vous recommandons de vérifier si votre solution utilise (indirectement) Ghostscript et, le cas échéant, de la mettre à jour vers la dernière version. »

Codean Labs a également partagé ce fichier Postscript qui peut aider les défenseurs à détecter si leurs systèmes sont vulnérables aux attaques CVE-2023-36664 en l’exécutant avec la commande suivante:

ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps

Activement exploité dans les attaques
Alors que l’équipe de développement de Ghostscript a corrigé la faille de sécurité en mai, Codean Labs a publié un article avec des détails techniques et un code d’exploitation de preuve de concept deux mois plus tard.

Les attaquants exploitent déjà la vulnérabilité CVE-2024-29510 Ghostscript dans la nature, en utilisant des fichiers EPS (PostScript) camouflés en fichiers JPG (image) pour obtenir un accès shell aux systèmes vulnérables.

« Si vous avez ghostscript n’importe où dans vos services de production, vous êtes probablement vulnérable à une exécution de shell à distance scandaleusement triviale, et vous devriez le mettre à niveau ou le supprimer de vos systèmes de production », a averti le développeur Bill Mill.

« La meilleure atténuation de cette vulnérabilité consiste à mettre à jour votre installation de Ghostscript vers la version 10.03.1. Si votre distribution ne fournit pas la dernière version de Ghostscript, il se peut qu’elle ait tout de même publié une version de correctif contenant un correctif pour cette vulnérabilité (par exemple, Debian, Ubuntu, Fedora) », a ajouté Codean Labs.

Il y a un an, les développeurs de Ghostscript ont corrigé une autre faille critique de RCE (CVE-2023-36664) également déclenchée par l’ouverture de fichiers conçus de manière malveillante sur des systèmes non corrigés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *