Lỗ hổng thực thi mã từ xa trong bộ công cụ chuyển đổi tài liệu Ghostscript, được sử dụng rộng rãi trên các hệ thống Linux, hiện đang bị khai thác trong các cuộc tấn công.
Ghostscript được cài đặt sẵn trên nhiều bản phân phối Linux và được sử dụng bởi nhiều phần mềm chuyển đổi tài liệu khác nhau, bao gồm ImageMagick, LibreOffice, GIMP, Inkscape, Scribus và hệ thống in CUPS.
Được định danh là CVE-2024-29510, lỗ hổng ảnh hưởng đến tất cả các phiên bản Ghostscript từ 10.03.0 trở về trước. Nó cho phép kẻ tấn công vượt qua cơ chế bảo vệ sandbox-dSAFER (được kích hoạt theo mặc định).
Lỗ hổng này đặc biệt nguy hiểm vì nó cho phép kẻ tấn công thực hiện những hoạt động có tính rủi ro cao, chẳng hạn như thực thi lệnh và thao tác tệp tin, bằng cách lạm dụng trình thông dịch Postscript của Ghostscript mà sandbox thường sẽ chặn.
Các nhà nghiên cứu bảo mật của Codean Labs, những người đã phát hiện và báo cáo lỗ hổng, cảnh báo rằng: “Lỗ hổng này có tác động đáng kể đến các ứng dụng web và các dịch vụ khác cung cấp chức năng xem trước và chuyển đổi tài liệu vì chúng thường sử dụng Ghostscript”.
"Chúng tôi khuyến nghị bạn xác minh xem giải pháp của bạn có [gián tiếp] sử dụng Ghostscript hay không, và nếu có, hãy cập nhật nó lên phiên bản mới nhất."
Codean Labs cũng đã chia sẻ tệp Postscript này để giúp bạn phát hiện xem hệ thống của mình có dễ bị tấn công bởi CVE-2023-36664 hay không bằng cách chạy tệp này với lệnh sau:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
Lỗ hổng đang bị khai thác trong các cuộc tấn công
Trong khi nhóm phát triển Ghostscript vá lỗ hổng bảo mật vào tháng 5, Codean Labs đã phát hành một bài viết chia sẻ các chi tiết kỹ thuật và mã khai thác (PoC) cho lỗ hổng hai tháng sau đó.
Những kẻ tấn công đã khai thác lỗ hổng CVE-2024-29510 của Ghostscript trong thực tế bằng cách sử dụng các tệp EPS (PostScript) giả dạng tệp JPG (hình ảnh) để có quyền truy cập shell vào các hệ thống dễ bị tấn công.
Nhà phát triển Bill Mill cảnh báo rằng: “Nếu bạn sử dụng ghostscript trong hệ thống sản xuất của mình, bạn có thể dễ bị tấn công thực thi lệnh từ xa và bạn nên nâng cấp hoặc gỡ bỏ nó khỏi hệ thống của mình”.
"Biện pháp giảm thiểu tốt nhất chống lại lỗ hổng này là cập nhật bản cài đặt Ghostscript của bạn lên phiên bản v10.03.1. Nếu bản phân phối của bạn không cung cấp phiên bản Ghostscript mới nhất, nó có thể vẫn phát hành bản vá chứa bản sửa lỗi cho lỗ hổng này (ví dụ: Debian, Ubuntu, Fedora)," Codean Labs cho biết thêm.
Nguồn: bleepingcomputer.com.
Whatsapp là ứng dụng trò chuyện trực tuyến phổ biến, được sử dụng rộng rãi bởi người dân ở bất kỳ độ tuổi nào. Chính vì vậy, đây cũng là nền tảng vô cùng thuận lợi cho các đối tượng thực hiện hành vi lừa đảo, chiếm đoạt tài sản.
Cảnh sát tỉnh Ontario (Canada) đã đưa ra cảnh báo về các thủ đoạn lừa đảo có liên quan tới Trung tâm phòng chống lừa đảo Canada (CAFC) nhằm đánh cắp dữ liệu, chiếm đoạt tài sản.
Ngày 28/6, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an tỉnh Bình Phước đã tiếp nhận đơn trình báo về vụ việc bà L.H.T (trú tại phường Minh Thành, thị xã Chơn Thành) bị tội phạm công nghệ cao dụ dỗ giới thiệu việc làm rồi lừa đảo mất hơn 2,3 tỷ đồng.
Mới đây, lực lượng Công an quận Cầu Giấy đã tiếp nhận vụ việc chị T (SN 1983) bị lừa mất 1,2 tỷ đồng bởi các đối tượng lừa đảo mạo danh là cán bộ Công an phường Trung Hòa.
Lợi dụng chính sách yêu cầu cập nhật sinh trắc học trên ứng dụng ngân hàng trực tuyến, các đối tượng lừa đảo thực hiện hành vi mạo danh cán bộ làm việc tại ngân hàng, chủ động liên hệ với nạn nhân nhằm thực hiện hành vi chiếm đoạt tài sản.
Một dịch vụ ransomware (RaaS) mới có tên Eldorado đã xuất hiện vào tháng 3 đi kèm với các biến thể công cụ mã hóa dành cho VMware ESXi và Windows.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
