最近各种互联网网站的图片上传等功能成了黑客重点关注对象,因为在一个特殊的场景下,这些功能可以轻易秒杀对方网站的服务器控制权!比如传一张图就给服务器关机,或执行 “rm -fr /”,或窃取用户敏感数据等,而造成这些后果的只是一张特殊的图片…
啥是ImageMagick ?
ImageMagick 是一款功能强大、稳定并开源的图片处理库(类似库还有gd等),可以读、写处理几乎所有常见的图片格式,网站程序可以利用ImageMagick 对图片进行瘦身、旋转、锐化以及其他特效处理操作。因 ImageMagick 处理效率较优,被很多企业与建站程序开发者喜爱,比如 PHP 的imagick 扩展就依赖ImageMagick。网站中常见的场景比如用户头像上传,照片二次编辑,图片自动化瘦身等地方就很可能调用该扩展。
就在 5月3日, ImageMagick 的官方披露称,目前提供给用户使用的程序存在一处远程命令执行漏洞(CVE-2016–3714),当其处理的上传图片带有恶意攻击代码时,就可以远程执行任意代码&命令,获取服务器的操作权限。
Mail.Ru安全团队在4月21日发现了CVE-2016–3714。4月30日,ImageMagic官方发布了新版本6.9.3-9,但没有完全修复漏洞。因此,到目前为止,官方仍未有修复版本推出。
临时防护建议(by imagetragick.com):
使用策略文件暂时禁用ImageMagick,可在 “/etc/ImageMagick/policy.xml” 文件中添加如下代码:
详见官方建议:ImageMagick Security Issue
利用方式也非常简单,黑客只需上传一张恶意图片就可以对服务器上的imagick扩展进行攻击,得手后就可以直接在网站服务器上执行任意命令。值得注意的是即使图片上传失败,imagick扩展也可能参与到了程序处理流程中,所以攻击仍会成功。
上传恶意图片,可能会提示错误
存在漏洞即可获取到服务器权限
目前漏洞没有大规模爆发,但仍然会给黑客意想不到的“惊喜”,在一些大型互联网企业的网络环境中悄悄的撕开一个入口。另外该漏洞也可以用来对一些云计算平台的“沙盒”权限限制进行绕过,获取到其他用户的文件或数据信息。
