Kullanarak araştırıyorlar. Saldırganlar, ImageTragick kusurlarını

Geçtiğimiz hafta boyunca güvenlik araştırmacıları, Hackerların yakın zamanda ImageMagick Web sunucu kitaplığında bulunan uzaktan kod yürütme güvenlik açıklarına karşı savunmasız sunucuları bulma girişimlerinin artmasını gördüler.

Geçen salı günü açıklanamayan hatalar ImageMagick geliştiricilerinden ilk düzeltme yaptıktan sonra kötü niyetli saldırganların zaten onlar hakkında bilgi sahibi olduklarına inanmak için nedenleri olan araştırmacılar tarafından tamamlanmamıştır. Hatalar toplu olarak ImageTragick olarak adlandırıldı ve daha fazla bilgi içeren bir web sitesi onlara dikkat çekmek için kuruldu.

ImageMagick, görüntüleri farklı formatlarda oluşturmak, düzenlemek ve dönüştürmek için kullanılabilecek bir komut satırı aracıdır. Araç, milyonlarca web sitesi tarafından kullanılan PHP'nin imagick'i, Ruby'nin rmagick'i, papercli ve Node.js'in imagemagick'i gibi diğer Web sunucu kitaplıkları için temeldir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Saldırganlar, kullanıcı tarafından yüklenen görüntüleri işlemek için ImageMagick'i kullanan web sitelerine özel hazırlanmış resimler yükleyerek hataları kolayca kullanabilir. Saldırganların bu açıkları söndürmek için acele etmelerine şaşmamak gerek.

Web sitesi güvenliği ve optimizasyon firması CloudFlare, müşterileri tarafından kullanılan Web Uygulaması Güvenlik Duvarı'nda onlar için bir tespit kuralı ekledikten kısa bir süre sonra ImageTragick saldırılarını görmeye başladı.

savunmasız sunucuları tanımlamak için keşif çabaları gibi görünen sömürü teşebbüsleri ve saldırganlara kalıcı erişim sağlayabilecek savunmasız sunuculardaki kötü amaçlı dosyaları yüklemek ve çalıştırmak için kusurları kullanma teşebbüsleri.

“Bir web sitesi bilmiyoruz ImageTragick'i kullanarak başarılı bir şekilde saldırıya uğradı, ancak bilgisayar korsanlarının bu güvenlik açığını etkin bir şekilde denediğini ve birçok sunucunun henüz yamalanmadığını görüyoruz, ”diyor CloudFlare araştırmacısı John Graham-Cumming bir blogda.

Web sitesi güvenlik firması Sucuri'den araştırmacılar, müşterilerine karşı ImageTragick saldırılarını da gözlemlediler. Bu durumlarda, saldırganlar saldırganın sunucusuna geri bir ters kabuk açmış olan haydut komutlarını yürütmek için bu güvenlik açığından yararlanmaya çalışıyorlardı.

Sucuri'nin gözlemlediği saldırılar yaygın değil, ancak gelecekte değişebilir.

Sucuri CTO Daniel Cid bir blog yazısında “Bunun nasıl geliştiğini görmeyi merak ediyoruz.” Dedi. “Geçmişte farklı şeyler olduğunu gördük. Bazıları çok mütevazı hedefli testler ve daha agresif kitlesel istismar girişimleri olan diğerleriyle başlar. Bu güvenlik açığı, özellikle erişilebilirlik gibi birkaç kritik öğeden yoksun olduğu için, neden daha yavaş, daha ihtiyatlı, piç ve benzeri bir yaklaşım gördüğümüzü açıklayabilir. ”

Saldırıların yaygın olup olmadığı, Sunucu yöneticileri mümkün olan en kısa zamanda mevcut yamaları ve önerilen politika tabanlı azaltmayı uygulamalıdır. ImageMagick geliştiricilerine göre, 6.9.3-10 ve 7.0.1-1 sürümlerinin yanı sıra sonraki tüm sürümler ImageTragick açıkları için geliştirilmiş bir düzeltme içermektedir.