ADPT

พบช่องโหว่บน ImageMagick Tool เสี่ยงถูกโจมตีแบบ Remote Code Execution

Ryan Huber วิศวกรความมั่นคงปลอดภัยจาก Slack ค้นพบช่องโหว่ Zero-day ความรุนแรงสูงบน ImageMagick เครื่องมือยอดนิยมสำหรับปรับแต่งรูปภาพของผู้ใช้บนเว็บไซต์ ที่ช่วยให้แฮ็คเกอร์สามารถรันโค้ดโจมตีบน Web Server จากระยะไกลผ่านทางรูปภาพที่มี Malicious Code แฝงอยู่ได้

imagemagick_imagetragick_4exploit

ImageMagick เครื่องมือสำหรับจัดการรูปภาพยอดนิยม

ImageMagick เป็น Library แบบ Open-source สำหรับทำ Image Processing ที่ช่วยให้ผู้ใช้สามารถ Resize, Scale, Crop, Tweak และใส่ลายน้ำให้แก่รูปภาพได้ เครื่องมือนี้รองรับการใช้งานหลากหลายภาษา ไม่ว่าจะเป็น Perl, C++, PHP, Python หรือ Ruby รวมทั้งถูกใช้งานอย่างแพร่หลายบนเว็บไซต์ บล็อก แพลทฟอร์มโซเชียลมีเดีย และ CMS เช่น WordPress และ Drupal

เจาะระบบเพื่อขโมยข้อมูลผ่านการอัพโหลดรูปภาพ

ช่องโหว่ Zero-day บน ImageMagick นี้ได้รับรหัส CVE-2016-3714 เป็นช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถรันโค้ดโจมตีบน Web Server จากระยะไกลผ่านทางรูปภาพที่สร้างขึ้นมาแบบพิเศษได้ เช่น อัพโหลดรูปภาพที่มี Malicious Code แฝงอยู่ขึ้นไปยัง Web Service ที่ใช้ ImageMagick ส่งผลให้แฮ็คเกอร์สามารถรันโค้ดบน Web Server จากระยะไกลเพื่อขโมยข้อมูลความลับ ข้อมูลล็อกอิน หรือทำการโจมตีแบบอื่นๆ ต่อได้

นั่นหมายความว่า เฉพาะเว็บไซต์ที่ใช้ ImageMagick และอนุญาตให้ผู้ใช้สามารถอัพโหลดรูปได้เท่านั้นถึงจะได้รับผลกระทบต่อช่องโหว่ดังกล่าว การเจาะระบบผ่านช่องโหว่นี้ถูกเรียกว่า “ImageTragick”

ยังไม่มีแพทช์สำหรับอุดช่องโหว่

ImageMagick รับทราบถึงช่องโหว่ Zero-day นี้เป็นที่เรียบร้อย แต่ยังไม่ได้ออกแพทช์สำหรับอุดช่องโหว่แต่อย่างใด คาดว่าแพทช์ใหม่สำหรับอุดช่องโหว่ คือ เวอร์ชัน 7.0.1-1 และ 6.9.3-10 น่าจะออกปลายสัปดาห์นี้ ระหว่างนี้แนะนำให้ผู้ดูแลเว็บไซต์ทำการตรวจสอบ “Magic Bytes” ซึ่งเป็นไบต์แรกๆ ของไฟล์ที่ทำหน้าที่ระบุประเภทของรูปภาพ เช่น GIF, JPG, PNG ให้ดีก่อนว่าเป็นไฟล์รูปภาพจริงๆ ก่อนที่จะเริ่มทำการปรับแต่งรูปภาพนั้นๆ รวมไปถึงเขียนโค้ดบน Configuration Files เพื่อบล็อกการโจมตีดังกล่าว (ดูตัวอย่าง)

ที่มา: http://thehackernews.com/2016/05/imagemagick-exploit-hack.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] ไมโครซอฟท์ แนะโมเดลประเมินความพร้อมด้านความปลอดภัยในองค์กร ตามหลักการ Zero Trust

ยกระดับการปกป้องข้อมูลเชิงรุก สกัดทุกภัยคุกคามทางไซเบอร์เสริมความแข็งแกร่งให้องค์กรเดินหน้าได้อย่างมั่นใจ

เชิญร่วมงานสัมมนาออนไลน์ “Modernize your IT Infrastructure to Maximize Data Value” โดย Dell Technologies และ Ricoh

Ricoh (Thailand) Limited และ Dell Technologies ขอเชิญผู้วางแผนกลยุทธ์ด้านไอทีสำหรับองค์กร ผู้บริหารสายงานเทคโนโลยีสารสนเทศ ทีมงานไอที โดยเฉพาะผู้ดูแลทางด้าน Data Storage, IT Infrastructure, IT …