28 de mayo de 2016

IMAGEMAGICK. Vulnerabilidades críticas exponen a millones de sitios web

Se han anunciado cinco vulnerabilidades críticas en Imagemagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. Estos problemas podrían permitir el compromiso de cualquier sistema que utilice esta utilidad.
ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.
Detalle de las vulnerabilidades
  • En general, básicamente, los problemas residen en que ImageMagick pasa las imágenes a sus herramientas a través de comandos shell, pero no filtra adecuadamente los nombres de archivos y rutas, lo que permite a las imágenes acceder al sistema de archivos.
  • El primer problema (con CVE-2016-3714) reside en un filtrado inadecuado de caracteres al usar la característica "delegate" (empleada para tratar archivos con librerías externas). Podría permitir la ejecución remota de código durante la conversión de formatos de archivo.
  • Por otra parte, vulnerabilidades por un tratamiento inadecuado de los archivos podrían permitir borrar (CVE-2016-3715), mover (CVE-2016-3716) o leer (CVE-2016-3717) archivos arbitrarios del sistema afectado. Por último, con CVE-2016-3718, una vulnerabilidad Server Side Request Forgery (SSRF) que podría permitir a un atacante remoto realizar peticiones http o ftp.
  • Los problemas fueron reportados por Nikolay Ermishkin del equipo de seguridad de Mail.Ru. Además se comprobado la facilidad con que es posible explotar los problemas y existen exploits públicos. 
Recomendación
  • Se han publicado las versiones 7.0.1-1 y 6.9.3-10 que corrigen las vulnerabilidades. Dada la gravedad de los problemas se recomienda la actualización inmediata de los sistemas afectados.
  • También se han publicado contramedidas como que antes del envío de la imagen a Imagemagick verificar que los archivos comienzan con los "bytes mágicos" correspondientes al tipo de archivo correspondiente. Los "bytes mágicos" son los primeros bytes de cada archivo que habitualmente se emplean para identificar el tipo de archivo (por ej. Las imágenes jpeg comienzan con "FF D8"). Igualmente se recomienda el uso de un archivo de políticas ("/etc/ImageMagick/policy.xm") para desactivar los codificadores afectados.
Más información:
Fuente: Hispasec