본문 바로가기

취약점 정보1

ImageMagick"취약점 원격에서의 코드 실행이 가능

728x90

ImageMagick '는 이미지의 열람, 편집, 형식 변환에 사용되는 인기있는 소프트웨어입니다. 2016 년 5 월 3 일 보안 연구원이 오픈 소스의 이미지 처리 도구 세트에 존재하는 여러 취약점을 발표했다 . 그 중 하나는 공격자가 원격으로 Web 사이트의 탈취를 가능하게합니다. 또한 ImageMagick 개발자는 이러한 취약성을 수정 한 업데이트 소프트웨어를 공개하고 있다.

이 도구 세트는 PNG, JPEG-2000, GIF, TIFF, DPX, EXR, WebP, Postscript, PDF SVG 등 200 개 이상의 형식의 이미지 파일을 읽고 덮어 쓸 수 있습니다. 또한 Web 사이트를 구축 및 관리 "Contents Management System (CMS) '에서는 Web 콘텐츠를 게시하기 전에 이미지 처리에 자주이 도구 세트가 이용되고 있다

취약점의 하나 " CVE-2016-3714 "는 서버에서 원격으로 코드 실행을 가능하게합니다. 이는 Web 서버에 침입 및 Web 사이트의 탈취에 이용 될 우려가 있으며,이 취약성을 악용 공격이 이미 확인되고 있습니다. 다른 서버에서 HTTP GET 요청을 보내거나, 파일 검색, 이동 및 삭제가 가능하게된다 취약점이보고되었으며,이 취약점의 " Proof-of-concept (PoC 개념 증명 형 공격. 실제로 효과적인 공격을 할 수 있음을 입증하고있다 공격 코드) "이 연구자에 의해 공개되어 있다.


■ 취약점 'CVE-2016-3714'에 대한 자세한 정보

ImageMagick는 외부 라이브러리가 파일을 처리 할 수​​ 있습니다. 이 기능은 "delegate"라고합니다. 입력 파일 이름과 출력 파일 이름 등 실제 매개 변수의 값과 설정 파일 delegates.xml에서 지정된 명령 문자열로 실행됩니다. 기본 delegate 명령 중 하나가 다음 HTTPS 요청의 처리에 이용되고 있습니다.

<delegate decode = "https"command = ""curl "-s -k -o"% o ""https : % M ""/>

그러나 매개 변수 "% M"에 적용 입력 값의 필터링이 불충분하기 때문에, 예를 들어 " https://sample.com"| ls "- la "라는 값을 전달 쉘 명령 " ls -la "를 실행 수 있습니다. 이 명령이 실행되면 " ls -la "명령과 일반 명령 라인 인 ' wget '나 ' curl '도 실행됩니다. 그리고 출력은 다음과 같이됩니다.

$ convert 'https://sample.com "| ls"-la'out.png 
total 296 
drwxr-xr-x 2 root root 4096 May 4 21:36. 
drwx-- 5 root root 12288 May 4 20:47. . 
-rw-r-r- 1 root root 481 May 4 19:27 Test.png 
-rw-r-r- 1 root root 543 May 4 15:13 convertimage.php

 

■ ImageMagick 취약점 심각도

ImageMagick의 취약점은 다음의 5 가지가 있습니다.

  • CVE-2016-3714 : 확장자 " svg " " mvg "파일의 업로드하여 서버에서 명령 쉘의 실행이 원격으로 가능합니다.
  • CVE-2016-3715 : "ephemeral : / '프로토콜을 이용하여 공격자는 원격에서 서버에서 파일을 삭제할 수 있습니다.
  • CVE-2016-3716 : "msl : /"의사 프로토콜을 이용하여 공격자는 원격으로 파일을 이동할 수 있습니다.
  • CVE-2016-3717 : " label : @ "프로토콜을 이용하여 파일 내용을 볼 수 있습니다.
  • CVE-2016-3718 : 서버 요청 위조. 공격자는 조작 된 파일을 이용하여 서버를 악성 도메인에 연결시킬 수 있습니다.

당사가 이러한 취약점을 분석 한 결과에서 ImageMagick을 이용하고있는 Web 서버를 공격하기위한 다양한 도구가 존재한다고 말할 수 있습니다.

■ 영향을받는 사람은 누구인가

ImageMagick "6.9.3-10" "7.0.1-1"이하의 버전을 사용하는 서버는 영향을받을 우려가 있습니다. 공유 호스팅 서버 또는 사용자에게 파일 업로드를 허용하는 서버는 악의적 인 사용자에 의한 악성 코드를 포함한 이미지 업로드가 용이하기 때문에 특히 영향을받을 위험이 있습니다.

■ Web 사이트의 취약점을 확인하는 방법

명령 줄에서 다음 명령을 실행하여 사용할 서버의 취약점을 확인할 수 있습니다.

  • "$ convert -version": 버전이 "7.0.1-1"또는 "6.9.3-10"이후 않으면 이용의 Web 사이트에는 취약점이 있을지도 모릅니다.
  • "$ convert 'https :"; echo It Is Vulnerable "'- 2> & -": 출력이 "It Is vulnerable"이면 즉시 패치를 적용하십시오.

■ 완화책

서버를 보호하기 위해 즉시 다음 작업을 수행하도록 서버 관리자에게 권장합니다.

  1. 핫픽스는 이미 공개되어 있습니다. 최신 버전으로 업데이트 할 것을 권장합니다.
  2. 이미지 파일이 처리되기 전에 업로드 된 파일의 선두 수 바이트가 이미지의 종류에 상응 한 매직 바이트로 시작하는지 확인하십시오. 이를 통해 업로드 할 파일이 실제로 이미지 파일이며 악성 파일이 아닌 것을 확인 할 수 있습니다.
  3. 정책 파일 'policy.xml'로 변경 ImageMagick의 설정을 변경하십시오. ImageMagick의 글로벌 정책은 주로 "/ etc / ImageMagick"에 존재합니다. 자세한 내용은 ImageMagick 지원 포럼 을 참조하십시오.



참고 기사 :


728x90