Una vulnerabilidad en Ghostscript podría permitir a los atacantes tomar el control remoto de los sistemas ¡Aún no hay una solución!
Una vulnerabilidad en Ghostscript, un intérprete ampliamente utilizado para Abode PostScript y en la descripción de las páginas PDF podría permitir a los atacantes tomar el control remoto de los sistemas vulnerables, y actualmente no hay ningún parche disponible para proteger contra el exploit que se está utilizando.
El intérprete de Ghostscript es utilizado por un gran número de proveedores que produce paquetes de software y bibliotecas de codificación para permitir que el software de escritorio y los servidores web utilicen productos utilizando Postscript o PDF, herramientas comunes que se utilizan en la actividad diaria de las empresas.
Los proveedores que saben que están afectados por la vulnerabilidad incluyen Red Hat, Ubuntu, Artifex Software e ImageMagick y esa lista podría aumentar a medida que más proveedores revisen si sus productos se ven afectados.
Descubierto por Tavis Ormandy, un investigador de vulnerabilidades en el equipo de seguridad Project Zero de Google, la vulnerabilidad se descubrió tan recientemente que aún no tiene un número CVE, o un parche para evitar su explotación.
El exploit se basa en la opción "-dsafer" opcional de Ghostscript diseñada para evitar operaciones inseguras desde PostScript, pero en este caso puede activar inadvertidamente la actividad segura en las aplicaciones que usan Ghostscript.
Al hacer que GhostScript, o un programa que lo usa, analice un archivo especialmente creado en cualquier directorio, es posible que un atacante remoto obtenga privilegios para ejecutar comandos arbitrarios que pueden permitir comprometer nuestros equipos. Eso incluye tomar el control total de un sistema efectuado, advirtió el US-CERT.
No es la primera vez que se descubren vulnerabilidades en Ghostscript: Ormandy descubrió otros exploits en 2016.
Como no se ha emitido ningún parche para la nueva vulnerabilidad de Ghostscript, he recomendado que se apaguen varias funciones vulnerables.
"Realmente sugiero que las distribuciones comiencen a deshabilitar codificadores PS, EPS, PDF y XPS en policy.xml de forma predeterminada. Creo que este es el vector de ataque más "inesperado de ghostscript ", esto debería suceder lo antes posible en mi humilde opinión, "-DSAFER' es frágil el límite de seguridad en este momento, y la ejecución de postscript no confiables se debe desalentar, al menos de forma predeterminada ", escribió en la publicación del blog que detalla el nuevo descubrimiento.
La base de datos de notas de vulnerabilidades del CERT también sugiere desactivar algunos procesos para proteger los sistemas contra ataques en ausencia de una "solución práctica" en forma de parches por parte de los proveedores afectados.