Una recente scoperta nel campo della sicurezza informatica ha messo in luce una vulnerabilità critica nella piattaforma di rendering Ghostscript, catalogata come CVE-2024-29510 con indice di gravità CVSS di 5.5 su 10.
C’è ora l’allarme per la scoperta in rete di un Proof of Concept per il suo sfruttamento che consente agli attori della minaccia di condurre attacchi mirati all’esecuzione di codice arbitrario e divulgazione di informazioni sottratte ai target.
Indice degli argomenti
I dettagli della vulnerabilità critica in Ghostscript
La vulnerabilità, che interessa le versioni fino alla 10.03.0 di Ghostscript, si configura come un problema di sicurezza di tipo “Memory Corruption” nella gestione delle stringhe di formato che può consentire agli attaccanti di aggirare la sandbox -dSAFER sulle istanze attive di Ghostscript, aprendo la strada a potenziali esecuzioni di codice remoto (RCE).
L’impatto di questa vulnerabilità è particolarmente significativo per le applicazioni web e i servizi che impiegano Ghostscript per funzionalità di conversione e anteprima di documenti.
Occorre tener presente, infatti, che Ghostscript, inizialmente concepito come strumento UNIX per la gestione delle stampanti, si è evoluto nel tempo diventando un componente ampiamente utilizzato in sistemi automatizzati, come riportano i ricercatori di Codean Labs.
Oltre a numerose applicazioni web, tra cui programmi di chat e servizi di cloud storage che fanno affidamento su Ghostscript per la gestione e la conversione di file forniti dagli utenti, il toolkit è preinstallato in molte distribuzioni Linux ed è utilizzato da vari software di conversione di documenti, tra cui ImageMagick, LibreOffice, GIMP, Inkscape, Scribus e il sistema di stampa CUPS.
Un aspetto particolarmente preoccupante è che l’exploit può essere attivato caricando un file EPS (Encapsulated PostScript, si tratta di un formato di file vettoriale spesso richiesto per la stampa professionale di immagini di alta qualità) appositamente creato e camuffato da file immagine in formato JPEG. Oppure, incorporando il codice malevolo all’interno di un documento LibreOffice appositamente creato.
Gli impatti della vulnerabilità in Ghostscript
Dall’analisi effettuata è evidente quanto siano vaste le implicazioni di questa vulnerabilità scoperta in Ghostscript.
Aggirando la sandbox -dSAFER, appositamente progettata per limitare operazioni potenzialmente pericolose, la vulnerabilità potrebbe infatti consentire agli attaccanti di eseguire codice arbitrario sul server, potenzialmente conducendo a violazioni dei dati, compromissione del sistema e ulteriori attacchi.
Soluzioni di mitigazione del rischio
Per mitigare il rischio è, dunque, fondamentale aggiornare il prima possibile Ghostscript alla versione 10.03.1 o successive.
Per gli amministratori di sistema Linux è consigliabile, quindi, verificare la disponibilità di versioni patch che affrontino questo problema, qualora l’ultima versione non fosse disponibile per la propria distribuzione.
I ricercatori di Codean Labs, inoltre, hanno condiviso un file PostScript che può aiutare a rilevare se i propri sistemi sono vulnerabili ad eventuali attacchi.
Una volta scaricato da qui, è possibile eseguirlo con il seguente comando:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
Infine, è utile ribadire ancora una volta quanto sia importante procedere ad aggiornamenti regolari dei propri sistemi e alle necessarie valutazioni di sicurezza per le dipendenze software, adottando un approccio proattivo alla cyber security che può contribuire a mitigare i rischi associati a tali vulnerabilità.
