文件轉換程式庫Ghostscript存在RCE漏洞，傳出已被用於攻擊行動

今年5月初文件轉換程式庫Ghostscript的開發團隊發布10.03.1版，當中修補一項遠端程式碼執行（RCE）漏洞CVE-2024-29510，如今研究人員發現已被用於實際攻擊行動。

這項漏洞與格式字串有關，攻擊者透過格式字串注入手法，有可能導致記憶體中斷，或是繞過沙箱機制Safer，CVSS風險評為6.3分。值得留意的是，由於這項程式庫的應用範圍很廣，不僅有許多版本的Linux作業系統內建，也有多款知名的應用程式採用，例如：ImageMagick、LibreOffice、GIMP、Inkscape、Scribus，影響不容小覷。

通報漏洞的資安業者Codean Labs上週公布相關細節，他們提及上述應用程式或是網頁應用程式，當中的文件轉換及預覽功能及服務很有可能會造成重大影響，因為這些應用程式或是服務往往在背景執行Ghostscript，對此，研究人員提供Postscript指令碼，讓使用者檢查相關系統是否曝險。

研究人員提到，Safer沙箱的主要功能，是限縮I/O作業內容，一旦啟用，將會禁止%pipe%功能，從而達到阻止任意命令執行的目的，並藉由路徑白名單限制檔案的存取。

然而，他們發現，當中的/tmp/資料夾卻能讓人完整存取、不受限制。也就是說，就算是Postscript指令碼處於沙箱環境，仍能完整列出、讀取、寫入任意資料到/tmp/，因而帶來資安風險。

從攻擊者的角度來看，這種讀寫檔案的能力，再搭配竄改輸出裝置及組態的功能，就有機會用於攻擊。

研究人員指出，他們可以使用特定命令，將輸入設備的型態設置為uniprint（通用印表機），再稍加對於特定加入設備參數，就有機會對不同廠牌及型號的設備下手。

他們藉由setpagedevice竄改uniprint，並下達指定upXXXX指令參數，從而存取記憶體堆疊的位置並濫用漏洞，成功達到沙箱逃逸的目的，而能發動完整RCE攻擊。

研究人員指出，駭客可以將特定的PostScript檔案（EPS）呼叫Ghostscript觸發漏洞，或是將其嵌入LibreOffice文件檔案，在開啟檔案的過程觸發命令執行。

在Codean Labs公布相關細節後，開發人員Bill Mill指出已發現實際攻擊行動，呼籲IT人員要儘速檢查、進行處理；資安新聞網站Bleeping Computer指出，攻擊者使用偽裝成JPG圖檔的EPS檔案發動攻擊，從而取得目標系統的Shell存取權限。