攻击者正在探测和利用Imagetragick缺陷
在过去的一周中,安全研究人员已经看到黑客越来越多的尝试,找到了最近在ImageMagick Web服务器库中找到的远程执行代码执行漏洞的服务器。
上周二的研究人员在上周二公开披露,他有理由相信恶意攻击者已经在ImageMagick开发商的初步修复后已经有了了解它们,被证明是不完整的。缺陷是集体称之为Imagetragick,一个网站有更多信息,以吸引对他们的关注。
ImageMagick是一个命令行工具,可用于以许多不同的格式创建,编辑和转换图像。该工具是其他Web服务器库的基础,例如PHP的Imagick,Ruby的Rmagick,PaperCli和Node.js的ImageMagick,它由数百万个网站使用。
攻击者可以通过在使用ImageMagick以处理用户上传的图像的网站上上传特殊制作的图像来轻松利用缺陷。所以它难怪攻击者赶紧剥削这些漏洞。
网站安全性和优化公司CloudFlare在为其客户使用的Web应用程序防火墙中添加了检测规则后,即可即将看到Imagetragick攻击。
该公司已经看到了剥削尝试,看起来像侦察侦查才能识别易受攻击的服务器,以及尝试使用缺陷在易受攻击的服务器上安装和执行恶意文件,这将为持久访问提供攻击者。
“我们不知道一个已经使用Imagetragick成功被攻击的网站,但很明显,黑客正在积极尝试这种脆弱性,因为它是新鲜的,许多服务器可能没有被修补,”CloudFlare研究员John Graham-Cumming在博客帖子中说。
来自网站安全公司Sucuri的研究人员也观察到Imagetragick对抗客户的攻击。在这些情况下,攻击者正在尝试利用该漏洞,以便执行将反向shell返回攻击者的rogue命令。
Sucuri观察到的攻击并不普遍,但在未来可能会发生变化。
“我们很奇怪地看看这是如何发展的,”Sucuri CTO Daniel Cid在博客岗位上说。“在过去,我们已经看到了不同的事情。有些人从非常适度的有针对性的测试和其他侵略性的攻击尝试开始。因为这种漏洞似乎缺乏一些关键元素,如可访问性,它可以解释为什么我们看到更慢,更加谨慎,戳和刺激的方法。“
攻击是否普遍,服务器管理员应尽快应用可用的补丁和建议的基于策略的缓解。根据ImageMagick开发人员,版本6.9.3-10和7.0.1-1以及所有更高版本,包含了Imagetragick漏洞的改进修复。