Эксплоиты для ImageTragick активно используются преступниками в разведывательных целях

Эксплоиты для ImageTragick активно используются преступниками в разведывательных целях

Некотрые эксплоиты использовались для получения доступа к целевому серверу.

image

В начале мая нынешнего года SecurityLab сообщал о критической уязвимости (CVE-2016-3714) в инструменте для обработки избражений ImageMagick, используемом миллионами web-сайтов. Проблема, получившая название ImageTragick, позволяет удаленное выполнение кода при обработке специально сформированных изображений. По имеющимся данным, информация об уязвимости стала доступна посторонним лицам до обнародования проблемы, и в настоящее время эксплоиты к уязвимости активно используются злоумышленниками.

Исследователи компаний CloudFlare и Sucuri обнаружили ряд различных эксплоитов, применяющихся киберпреступниками для разведывательных целей и получения доступа к уязвимым web-серверам. По словам экспертов Sucuri, в одном случае злоумышленники использовали бот для обнаружения потенциальных объектов атаки. Далее они отправляли на первый взгляд безобидный файл JPEG, на деле содержащий шелл-код.

Специалисты компании CloudFlare зафиксировали несколько типов эксплоитов. Часть из них использовалась злоумышленниками просто для поиска систем, подверженных уязвимости ImageTragick, однако некоторые содержали более опасную полезную нагрузку, позволяющую хакерам получить доступ к целевому серверу. По словам эксперта CloudFlare Джона Грэма-Камминга (John Graham-Cumming), несмотря на многочисленные попытки использования эксплоитов, в настоящее время нет данных об успешном взломе каких-либо web-сайтов.

Основатель и технический директор Sucuri Дэниэл Сид (Daniel Cid) также подтвердил, что массовых атак, направленных на эксплуатацию ImageTragick, пока не наблюдается. Как поясняет Сид, значительное количество CMS не используют ImageMagick по умолчанию. Кроме того, успешная эксплуатация уязвимости возможна только при определенных условиях. Видимо, в этом и заключается причина вялого интереса злоумышленников к ImageTragick.

Разработчики уже выпустили исправленные версии ImageMagick 7.0.1-2 и 6.9.4-0. Также они опубликовали PoC-код, позволяющий определить уязвимые серверы.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle