Kerentanan eksekusi kode jarak jauh dalam perangkat konversi dokumen Ghostscript, yang banyak digunakan pada sistem Linux, saat ini sedang dieksploitasi dalam serangan.
Ghostscript telah terinstal sebelumnya pada banyak distribusi Linux dan digunakan oleh berbagai perangkat lunak konversi dokumen, termasuk ImageMagick, LibreOffice, GIMP, Inkscape, Scribus, dan sistem pencetakan CUPS.
Dilacak sebagai CVE-2024-29510Kerentanan string format ini memengaruhi semua instalasi Ghostscript 10.03.0 dan versi sebelumnya. Kerentanan ini memungkinkan penyerang lolos dari sandbox -dSAFER (diaktifkan secara default) karena versi Ghostscript yang belum ditambal gagal mencegah perubahan pada string argumen perangkat uniprint setelah sandbox diaktifkan.
Penghindaran keamanan ini sangat berbahaya karena memungkinkan mereka melakukan operasi berisiko tinggi, seperti eksekusi perintah dan I/O file, menggunakan interpreter Ghostscript Postscript, yang biasanya diblokir oleh kotak pasir.
“Kerentanan ini memiliki dampak yang signifikan pada aplikasi web dan layanan lain yang menawarkan fungsi konversi dan pratinjau dokumen karena mereka sering menggunakan Ghostscript,” diperingatkan Peneliti keamanan Codean Labs yang menemukan dan melaporkan kerentanan keamanan.
“Kami sarankan Anda memverifikasi apakah solusi Anda (secara tidak langsung) menggunakan Ghostscript dan jika ya, perbarui ke versi terbaru.”
Codean Labs juga memiliki membagikan file Postscript ini yang dapat membantu pembela mendeteksi apakah sistem mereka rentan terhadap serangan CVE-2023-36664 dengan menjalankannya dengan perintah berikut:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
Dieksploitasi secara aktif dalam serangan
Sementara tim pengembangan Ghostscript menambal kelemahan keamanan di bulan MeiCodean Labs menerbitkan sebuah penulisan dengan rincian teknis dan kode eksploitasi bukti konsep dua bulan kemudian.
Penyerang sudah mengeksploitasi kerentanan Ghostscript CVE-2024-29510 di alam liar, menggunakan file EPS (PostScript) yang disamarkan sebagai file JPG (gambar) untuk mendapatkan akses shell ke sistem yang rentan.
“Jika Anda memiliki ghostscript *di mana saja* dalam layanan produksi Anda, Anda mungkin rentan terhadap eksekusi shell jarak jauh yang sangat sepele, dan Anda harus memutakhirkannya atau menghapusnya dari sistem produksi Anda,” pengembang Bill Mill diperingatkan.
“Mitigasi terbaik terhadap kerentanan ini adalah memperbarui instalasi Ghostscript Anda ke v10.03.1. Jika distribusi Anda tidak menyediakan versi Ghostscript terbaru, mungkin masih merilis versi patch yang berisi perbaikan untuk kerentanan ini (misalnya, Bahasa Indonesia: DebianBahasa Indonesia: UbuntuBahasa Indonesia: Bahasa Indonesia: Fedora),” tambah Codean Labs.
Setahun yang lalu, pengembang Ghostscript memperbaiki kelemahan RCE kritis lainnya (CVE-2023-36664) juga dipicu oleh pembukaan file berbahaya pada sistem yang belum ditambal.
