Cảnh báo tin tặc sử dụng lỗ hổng ImageTragick tấn công nhiều website

Một số nhà nghiên cứu bảo mật cho biết hiện tại có rất nhiều lỗ hổng ImageTragick đang được tin tặc khai thác với mục đích do thám và chiếm quyền truy cập máy chủ web.

ImageTragick là tên của lỗ hổng mới được phát hiện trong phần mềm xử lý ảnh phổ biến ImageMagick. Lỗ hổng có mã CVE-2016-3714, cho phép tin tặc thực thi mã tùy ý từ xa trên máy chủ bị lỗ hổng thông qua việc tải lên một tệp tin hình ảnh độc hại.

Sau khi đưa ra chi tiết và bản chứng minh (PoC) về ImageTragick vào tuần trước, các chuyên gia đã cảnh báo rằng lỗ hổng đã bị khai thác trong thực tế nhưng không đưa ra thông tin gì thêm về các cuộc tấn công này.

Công ty bảo mật Sucuri cho biết, tin tặc đã sử dụng con bot nhằm quét các URL file upload (ví dụ /upload.php và /imgupload.php) để tìm ra đối tượng có khả năng bị tấn công. Sau đó tin tặc gửi một tệp tin hình ảnh JPEG có vẻ ít gây hại nhưng chứa mã độc nhằm tạo ra một reverse shell đến địa chỉ IP của máy chủ điều khiển (C&C).

CloudFlare phát hiện nhiều dạng khai thác khác nhau. Một vài khai thác chỉ dùng kiểm tra xem máy chủ có bị ảnh hưởng bởi lỗ hổng ImageTragick hay không. Tuy nhiên vẫn có những khai thác chứa payload rất nguy hiểm, có thể chiếm quyền truy cập máy chủ.

Hiện tại tin tặc mới chỉ tấn công các website đơn lẻ. Do quyền tải tệp tin lên website gắn với quyền người dùng và nhiều hệ quản trị nội dung (CMS) không mặc định sử dụng ImageMagick, nên các cuộc tấn công chưa xảy ra trên diện rộng. Tuy nhiên, đây vẫn là lỗ hổng nghiêm trọng và quản trị viên website được khuyến cáo cập nhật lên phiên bản mới nhất càng sớm càng tốt.

Hiện nhà phát triển ImageMagick đã xử lý lỗ hổng và phát hành phiên bản 7.0.1-2 và 6.9.4-0. Các nhà nghiên cứu đã phát triển (PoC) để phát hiện liệu máy chủ của mình có bị ảnh hưởng bởi lỗ hổng hay không.

securityweek