Aprite un file e consegnate il sistema agli aggressori: attenzione a Ghostscript

Ghostscript è un interprete per il linguaggio PostScript e PDF, ampiamente utilizzato per la conversione e la manipolazione dei documenti. È un software open source che fornisce strumenti per visualizzare, stampare e convertire i documenti. È spesso utilizzato come componente di base in molte applicazioni di uso comune: citiamo ImageMagick, LibreOffice, GIMP, Inkscape, Scribus e il sistema di stampa CUPS (Common UNIX Printing System).

A marzo 2024 i ricercatori di Codean Labs hanno scoperto una grave vulnerabilità in Ghostscript che può portare all’esecuzione di codice dannoso in modalità remota. Basta infatti che i criminali informatici inviino alla vittima un file opportunamente predisposto, affinché gli attacchi RCE (Remote Code Execution) vadano in porto.

Come si evince esaminando la nota tecnica pubblicata da Codean Labs, la falla di sicurezza in questione è già ampiamente utilizzata dagli attaccanti per provocare il caricamento di codice arbitrario sui sistemi degli utenti. Di solito mettono a punto un file in formato EPS, presentato come innocua immagine JPG: l’apertura dell’elemento EPS, se gestito con una versione vulnerabile di Ghostscript, determina l’esecuzione delle istruzioni malevole.

Attenzione alla vulnerabilità CVE-2024-29510 di Ghostscript

Scendiamo più nel dettaglio. La vulnerabilità in questione, contrassegnata con l’identificativo CVE-2024-29510, riguarda tutte le installazioni di Ghostscript 10.03.0 e versioni precedenti. Un aggressore che provasse a sfruttarla può eludere la sandbox -dSAFER (attivata di default) e provocare il caricamento del codice a livello di sistema operativo.

La vulnerabilità in questione è particolarmente pericolosa poiché consente agli attaccanti di eseguire operazioni ad alto rischio come l’esecuzione di comandi e operazioni di lettura/scrittura sui file, operazioni che la sandbox di Ghostscript normalmente bloccherebbe.

L’impatto di questo problema di sicurezza è significativo soprattutto per le applicazioni web e altri servizi che offrono funzionalità di conversione e anteprima di documenti, poiché spesso utilizzano Ghostscript in modo indiretto. Tanti sono quindi i sistemi potenzialmente esposti ad attacchi remoti in grado di compromettere la sicurezza dei dati e l’integrità del sistema.

Qualsiasi sistema operativo che utilizza Ghostscript versione 10.03.0 o precedente è vulnerabile. La soluzione migliore consiste nell’aggiornare Ghostscript alla versione 10.03.1 o successiva.

Come controllare la versione di Ghostscript in uso e verificare la modalità di attacco

In ambiente Linux, è possibile verificare se Ghotscript è installato digitando semplicemente ghostscript --version oppure gs --version dalla finestra del terminale.

Agli utenti Windows, suggeriamo di portarsi nelle cartelle C:\Program files e C:\Program files (x86) controllando l’eventuale presenza di cartelle chiamate gs oppure ghostscript.

Gli esperti di Codean Labs hanno messo a disposizione un file PostScript che può aiutare a rilevare se i sistemi sono vulnerabili agli attacchi basati sulla falla CVE-2024-29510. Il comando da eseguire è il seguente:

ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps

Il download dell’ultima versione dell’interprete PostScript, può essere effettuato utilizzando il package manager della distribuzione in uso oppure facendo riferimento alla pagina di download. Se non si potesse installare l’aggiornamento, specie sui sistemi utilizzati in produzione, si dovrebbe temporaneamente rimuovere Ghostscript.