พบช่องโหว่บน ImageMagick Tool เสี่ยงถูกโจมตีแบบ Remote Code Execution

Ryan Huber วิศวกรความมั่นคงปลอดภัยจาก Slack ค้นพบช่องโหว่ Zero-day ความรุนแรงสูงบน ImageMagick เครื่องมือยอดนิยมสำหรับปรับแต่งรูปภาพของผู้ใช้บนเว็บไซต์ ที่ช่วยให้แฮ็คเกอร์สามารถรันโค้ดโจมตีบน Web Server จากระยะไกลผ่านทางรูปภาพที่มี Malicious Code แฝงอยู่ได้

imagemagick_imagetragick_4exploit

ImageMagick เครื่องมือสำหรับจัดการรูปภาพยอดนิยม

ImageMagick เป็น Library แบบ Open-source สำหรับทำ Image Processing ที่ช่วยให้ผู้ใช้สามารถ Resize, Scale, Crop, Tweak และใส่ลายน้ำให้แก่รูปภาพได้ เครื่องมือนี้รองรับการใช้งานหลากหลายภาษา ไม่ว่าจะเป็น Perl, C++, PHP, Python หรือ Ruby รวมทั้งถูกใช้งานอย่างแพร่หลายบนเว็บไซต์ บล็อก แพลทฟอร์มโซเชียลมีเดีย และ CMS เช่น WordPress และ Drupal

เจาะระบบเพื่อขโมยข้อมูลผ่านการอัพโหลดรูปภาพ

ช่องโหว่ Zero-day บน ImageMagick นี้ได้รับรหัส CVE-2016-3714 เป็นช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถรันโค้ดโจมตีบน Web Server จากระยะไกลผ่านทางรูปภาพที่สร้างขึ้นมาแบบพิเศษได้ เช่น อัพโหลดรูปภาพที่มี Malicious Code แฝงอยู่ขึ้นไปยัง Web Service ที่ใช้ ImageMagick ส่งผลให้แฮ็คเกอร์สามารถรันโค้ดบน Web Server จากระยะไกลเพื่อขโมยข้อมูลความลับ ข้อมูลล็อกอิน หรือทำการโจมตีแบบอื่นๆ ต่อได้

นั่นหมายความว่า เฉพาะเว็บไซต์ที่ใช้ ImageMagick และอนุญาตให้ผู้ใช้สามารถอัพโหลดรูปได้เท่านั้นถึงจะได้รับผลกระทบต่อช่องโหว่ดังกล่าว การเจาะระบบผ่านช่องโหว่นี้ถูกเรียกว่า “ImageTragick”

ยังไม่มีแพทช์สำหรับอุดช่องโหว่

ImageMagick รับทราบถึงช่องโหว่ Zero-day นี้เป็นที่เรียบร้อย แต่ยังไม่ได้ออกแพทช์สำหรับอุดช่องโหว่แต่อย่างใด คาดว่าแพทช์ใหม่สำหรับอุดช่องโหว่ คือ เวอร์ชัน 7.0.1-1 และ 6.9.3-10 น่าจะออกปลายสัปดาห์นี้ ระหว่างนี้แนะนำให้ผู้ดูแลเว็บไซต์ทำการตรวจสอบ “Magic Bytes” ซึ่งเป็นไบต์แรกๆ ของไฟล์ที่ทำหน้าที่ระบุประเภทของรูปภาพ เช่น GIF, JPG, PNG ให้ดีก่อนว่าเป็นไฟล์รูปภาพจริงๆ ก่อนที่จะเริ่มทำการปรับแต่งรูปภาพนั้นๆ รวมไปถึงเขียนโค้ดบน Configuration Files เพื่อบล็อกการโจมตีดังกล่าว (ดูตัวอย่าง)

ที่มา: http://thehackernews.com/2016/05/imagemagick-exploit-hack.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] ฟอร์ติเน็ตเปิดตัวโซลูชัน Cloud native protection ปกป้องธุรกิจให้พ้นจากภัยคุกคามบนคลาวด์ พร้อมให้ใช้งานแล้วบน AWS

FortiCNP ช่วยลดความซับซ้อนในกระบวนการด้านความปลอดภัยบนคลาวด์ บริหารความเสี่ยงภัยได้เร็วขึ้น และให้การป้องกันภัยคุกคามได้เกือบเรียลไทม์ด้วยคุณสมบัติในการตรวจจับมัลแวร์ในระดับ Zero-Permission

พบช่องโหว่ Local Privilege Escalation บน Kaspersky VPN Client

พบช่องโหว่ Local Privilege Escalation ความรุนแรงระดับสูง บน Kaspersky VPN Client ผู้ที่ใช้งานควรรีบทำการอัปเดต