Thư viện xử lý ảnh ImageMagick dính lỗ hổng, hacker có thể tấn công trang web qua hình ảnh tải lên

By | 9:13 pm | 07/05/2016

Các nhà nghiên cứu bảo mật đã phát hiện ra rằng ra rất nhiều trang web đang ẩn chứa lỗ hổng bảo mật khiến hacker có thể dễ dàng thực thi mã độc qua hình ảnh được đăng tải. Lỗ hổng này nằm trong ImageMagick – một thư viện xử lý hình ảnh được sử dụng phổ biến và được hỗ trợ bởi nhiều ngôn ngữ lập trình như PHP, Ruby, NodeJS, Python … Nhiều trang mạng xã hội, blog và nhiều hệ thống quản lý nội dung của các trang web khác vẫn đang khai thác ImageMagick một cách trực tiếp hoặc gián tiếp để thu nhỏ kích cỡ hình ảnh khi người dùng tải lên.

Imagemagick

Theo nhà nghiên cứu bảo mật Ryan Huber, ImageMagick đang tồn tại các lỗ hổng cho phép những hình ảnh chứa mã độc ép buộc máy chủ web thực thi một đoạn mã được hacker soạn sẵn. Các trang web sử dụng ImageMagick và cho phép người dùng tải ảnh lên đang đứng trước nguy cơ bị tấn công rất cao và có thể mất quyền kiểm soát bảo mật hoàn toàn.

Huber cho biết các lỗ hổng của thư viện ImageMagick rất dễ phát hiện và rất nhiều người có thể đã truy xuất vào lỗ hổng này khiến cho vấn đề trở nên nguy cấp đối với những ai đang sử dụng phần mềm này. Trong khi đó, đơn vị quản lý ImageMagick cho biết họ đã được biết về nguy cơ lỗ hổng bị hacker khai thác để thực thi mã độc từ xa. Tuy nhiên, họ vẫn chưa đưa ra bất cứ bản vá nào, chỉ gợi ý rằng quản trị viên các trang web nên bổ sung thêm một vài đoạn mã vào các file thiết lập để chặn bớt các lỗ hổng tiềm năng. Huber cũng đưa ra những khuyến cáo tương tự và đóng gói thành một file (tải về tại đây) nhưng gợi ý thêm rằng các trang web đang sử dụng ImageMagick nên tiến hành kiểm tra đối với tất cả hình ảnh được tải lên ở cấp thấp, bắt đầu với những byte ký hiệu tương ứng với định dạng hình ảnh trước khi cho phép ảnh được xử lý.

Các lỗ hổng trong ImageMagick được phát hiện bởi nhà nghiên cứu bảo mật Nikolay Ermishkin.

Một trong những tình huống tấn công khai thác lỗ hổng này là các trang chia sẻ nội dung số, mạng xã hội, dịch vụ blog hay trang tin tức sẽ chấp nhận những hình ảnh được tải lên từ một người dùng (có thể là hacker). Hacker sẽ tải lên một file có định dạng png, jpg … hay thông qua các nội dung có định dạng khác. Một khi ImageMagick phát hiện sự bất tương đồng về định dạng, nó sẽ tự động chuyển đổi hình ảnh thành một định dạng trung gian và trong một số trường hợp, nó sẽ tự tạo ra một đường dẫn giải mã không an toàn. Lúc này, mã độc có thể được thực thi trên máy chủ web.

Huber cho biết các giải pháp mà ông đưa ra có thể hiệu quả trong việc ngăn chặn nhiều hình thái tấn công đã được biết đến nhưng không đảm bảo có thể loại bỏ tất cả. Chỉ đến khi lỗ hổng được phân tích toàn diện thì các giải pháp hiện tại chỉ mang tính tạm thời. Điều này có nghĩa quản trị viên các trang web cần phải giám sát lỗ hổng này chặt chẽ và sẵn sàng triển khai các giải pháp bảo vệ nếu cần.

ImageMagick hiện đang hỗ trợ hơn 200 định dạng khác nhau, bao gồm cả định dạng nroff và postscript. Về lâu dài, quản trị viên các trang web được khuyến cáo nên chuyển sang sử dụng GraphicMagick – một nhánh của ImageMagick hỗ trợ số lượng các định dạng file ít hơn.