Une vulnérabilité d’exécution de code à distance dans la boîte à outils de conversion de documents Ghostscript, largement utilisée sur les systèmes Linux, est actuellement exploitée dans des attaques.

Ghostscript est préinstallé sur de nombreuses distributions Linux et est utilisé par divers logiciels de conversion de documents, notamment ImageMagick, LibreOffice, GIMP, Inkscape, Scribus et le système d'impression CUPS.

Suivi comme CVE-2024-29510cette vulnérabilité de chaîne de format affecte toutes les installations Ghostscript 10.03.0 et antérieures. Elle permet aux attaquants d'échapper au sandbox -dSAFER (activé par défaut) car les versions non corrigées de Ghostscript ne parviennent pas à empêcher les modifications des chaînes d'arguments du périphérique uniprint après l'activation du sandbox.

Ce contournement de sécurité est particulièrement dangereux car il leur permet d'effectuer des opérations à haut risque, telles que l'exécution de commandes et les E/S de fichiers, en utilisant l'interpréteur Postscript Ghostscript, que le sandbox bloquerait normalement.

« Cette vulnérabilité a un impact significatif sur les applications Web et autres services offrant des fonctionnalités de conversion et de prévisualisation de documents, car ceux-ci utilisent souvent Ghostscript en arrière-plan », averti Chercheurs en sécurité de Codean Labs qui ont découvert et signalé la vulnérabilité de sécurité.

« Nous vous recommandons de vérifier si votre solution utilise (indirectement) Ghostscript et, si c'est le cas, de la mettre à jour vers la dernière version. »

Codean Labs a également partagé ce fichier Postscript qui peut aider les défenseurs à détecter si leurs systèmes sont vulnérables aux attaques CVE-2023-36664 en l'exécutant avec la commande suivante :

ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps

Exploité activement dans les attaques

Pendant que l'équipe de développement de Ghostscript corrigeait la faille de sécurité en maiCodean Labs a publié un rédaction avec détails techniques et un code d'exploitation de preuve de concept deux mois plus tard.

Les attaquants exploitent déjà la vulnérabilité Ghostscript CVE-2024-29510, en utilisant des fichiers EPS (PostScript) camouflés en fichiers JPG (image) pour obtenir un accès shell aux systèmes vulnérables.

« Si vous avez du ghostscript *n'importe où* dans vos services de production, vous êtes probablement vulnérable à une exécution de shell distante étonnamment triviale, et vous devriez le mettre à niveau ou le supprimer de vos systèmes de production », a déclaré le développeur Bill Mill. averti.

« La meilleure mesure de protection contre cette vulnérabilité est de mettre à jour votre installation de Ghostscript vers la version 10.03.1. Si votre distribution ne fournit pas la dernière version de Ghostscript, elle peut néanmoins avoir publié une version de correctif contenant un correctif pour cette vulnérabilité (par exemple, Debian, Ubuntu, Feutre), » a ajouté Codean Labs.

Il y a un an, les développeurs de Ghostscript ont corrigé une autre faille RCE critique (CVE-2023-36664), également déclenchée par l'ouverture de fichiers malveillants sur des systèmes non corrigés.