ImageMagick vulnerability (ImageTragick)

Published by Lello on

In questi giorni le maggiori distribuzioni di Linux stanno correndo ai ripari per mettere le patch a ImageMagick, che è stato oggetto di vulnerabilità critiche già sfruttate ampiamente.

ImageMagick è un tool molto popolare utilizzato per manipolare foto; con ImageMagick è possibile effettuare resize, scalare, tagliare, inserire dei watermark nelle immagini. Qualunque sito includa foto, quasi sicuramente ha installato ImageMagick, per cui la vulnerabilità fa gola veramente a tanti, considerando anche che viene utilizzato all’interno dei più comuni linguaggi di programmazione quali Perl, C++, PHP, Python, Ruby. Lo troviamo quasi sempre quale pre-requisito in milioni di siti web, blogs, piattaforme social e CMS popolari quali WordPress e Drupal.

In questa pagina potete vedere le tre CVE (CVE-2016-3717, CVE-2016-3715 e CVE-2016-3714) che sono state emesse per ImageMagick, tutte con peso compreso tra 5.8 e 10; alla vulnerabilità più importante (CVE-2016-3714)  è stato data il nome di ImageTragick.

A tale vulnerabilità è stato dato un peso di 10 (in una scala che va da zero a 10) proprio per la sua gravità.

Il funzionamento è molto semplicemente: l’hacker crea un immagine ad hoc (crafted image) da dare in pasto a ImageMagick; questo tool elabora l’immagine all’interno della quale c’è scritto di scaricare un codice da un certo sito; il tool scarica il codice e lo esegue, ignaro che non sta elaborando un immagine ma sta eseguendo codice arbitrario.

In parole povere: oro per gli hacker.

Per temporeggiare in attesa di una patch, agli amministratori dei siti web era stato consigliato di effettuare il check del Magic bytes nei file inviati a ImageMagick prima che l’immagine fosse processata dal tool. Il Magic bytes sono i primi byte del file, utilizzati per identificare il tipo dell’imagine, come ad esempio GIF, JPEG, PNG.

Comunque, in questi giorni ImageMagick viene aggiornato, per cui vi consiglio (nel caso non l’aveste ancora fatto) di aggiornare il prima possibile il vostro server.