Imagetragick is de naam voor een recent ontdekte én geopenbaarde kwetsbaarheid in een relatief onbekend maar veelgebruikt stuk software. Miljoenen websites liggen onder vuur van exploits.
De cross-platform software Imagemagick is een open source suite voor grafische beeldbewerking die een zeer groot aantal beeldformaten ondersteunt. De makers melden dat het meer dan tweehonderd verschillende soorten bestandsformaten voor beeldmateriaal kan lezen, vertonen, bewerken en weer opslaan. Dit omvat png, jpeg, jpeg-2000, gif, tiff, dpx, exr, webp, Postscript, pdf, en svg. Door dit brede bereik is Imagemagick veelgebruikt, onder andere door content management systemen voor websites.
Websitekaping middels jpg
Naast het indrukwekkende grafische vermogen heeft de software sinds kort nog een andere impactvolle ‘functie’. Het blijkt meerdere kwetsbaarheden te bevatten die serieuze securitygevolgen hebben. De meest kritieke daarvan is dat speciaal geprepareerde plaatjes kunnen zorgen voor het op afstand uitvoeren van code naar keuze. Deze remote code execution maakt het mogelijk om websites over te nemen waar de beeldbewerkingssoftware op draait.
Het simpelweg uploaden van een plaatje, bijvoorbeeld in een bezoekersforum als bericht of als gebruikersavatar, kan volstaan om binnen te dringen. Het gaat dan ogenschijnlijk om een jgg-bestand, meldt beveiligingsbedrijf Sucuri, dat echter een vermomd mvg-bestand is met daarin ingebed eigen code die de Imagetragick-kwetsbaarheid benut. Na verwerking door Imagemagick wordt dan een kwaadaardig Python-bestand gedownload dat na uitvoering door de kwetsbare server de aanvaller een command shell geeft op die computer.
Een variant op deze aanvalsmethode kan toe zonder aanvullende Python-download omdat het die code al in het initiële nepplaatje draagt, meldt technieuwssite Ars Technica. Beveiligingsleverancier Trend Micro legt uit dat de andere van de vijf kwetsbaarheden het mogelijk maken om bestanden op kwetsbare servers te lezen, te verplaatsen of te verwijderen.
Controleren, beperken en patchen
Kort na de onthulling van dit gevaar heeft Imagemagick wel een patch uitgebracht, die aanvankelijk nog niet volledig was. Aanvankelijk hadden de softwaremakers wel meteen beperkende maatregelen aangedragen, die beheerders dan moesten toevoegen aan configuratiebestanden voor hun installaties. De ernst van de kwetsbaarheden plus de eenvoud van de exploits daarvoor maakte snelle mitigations en openbare melding noodzakelijk. ‘We hebben gezamenlijk bepaald dat deze kwetsbaarheden ook beschikbaar zijn voor andere individuen dan alleen de ontdekkers ervan’, aldus de FAQ van Imagetragick. Wachten op de komst van een patch was dan ook geen haalbare kaart.
Het Nationaal Cyber Security Center (NCSC) van de Nederlandse overheid geeft in zijn beveiligingsadvies hierover een lijst met software die Imagemagick gebruiken en daardoor dus kwetsbaar zijn. Naast Linux-varianten als Suse zijn ook cms’en als Typo3 en WordPress geraakt. De makers van die diverse softwaresystemen hebben al maatregelen genomen en dringende waarschuwingen afgegeven. Luttele miljoenen websites lopen gevaar.
Eenvoudige aanval in de praktijk
Beveiligingsbedrijven hebben namelijk al gemeld dat aanvallers gebruik maken van de geopenbaarde kwetsbaarheid, dus het gevaar is geen theoretische kwestie. Bovendien is Imagetragick ook al toegevoegd aan de bekende kwetsbaarhedenscanner annex hacktool Metasploit. Het dringende advies is om Imagemagick te upgraden naar tenminste versie 7.0.1-1 of 6.9.3-10 uit de voorgaande release-reeks. Inmiddels zijn er nog aanvullende point-releases uitgebracht, waarbij onder meer een controle op buffer overflows is ingebouwd.
Content delivery network (CDN) CloudFlare waarschuwt dat er voor de Imagetragick-aanvallen geen diepgaande kennis nodig is. Programmeur John Graham-Cumming van CloudFlare trekt in zijn blogpost dan ook de vergelijking met de gevaarlijke Shellshock-kwetsbaarheid uit 2014. ‘Shellshock was vooral venijnig vanwege de enorme wijdverbreidheid van de kwetsbaarheid. Imagetragick is minder wijdverbreid, maar het is een echt probleem voor sites die het gebruiken om beeldmateriaal te bewerken dat gebruikers uploaden.’ Het is aan beheerders en webmasters om hun systemen te controleren en te patchen.
Dit artikel riekt een beetje naar FUD als het gaat om een veel gebruikte open-source library.
Alsof bijv OpenSSH of .Net ook niet af en toe eens kritieke bugs oplossen en dus ook moet upgraden als je ze gebruikt. Of je forkt de library en je kan je eigen security features inbouwen zoals je zelf wilt. (Die je evt weer kan delen met het project zelf)
Wat is er obscuur aan ImageMagick? Ik snap die titel niet zo.
@Frank
Excuses voor nogal late reactie mijnerzijds (maar beter laat dan nooit?). Ik bedoelde ‘obscuur’ in de zin van onbekend. Maar ik zie/besef nu dat er verwarring kan zijn met de betekenis/definitie van obscuur als duister/onbetrouwbaar/louche.
Mijn intentie was om aan te geven dat ImageMagick ondanks ‘veelgebruiktheid’ nauwelijks in beeld is/komt en dat veel gebruikers (incl. IT’ers!) er dus geen weet van hebben dat ze het hebben/draaien (en dus kwetsbaar zijn).
PS Zo zit ImageMagick ‘zelfs’ in bijvoorbeeld een e-bookpakket als Calibre. Zie de release notes voor (net uitgekomen) versie 2.57: http://calibre-ebook.com/whats-new