Linux 시스템에서 널리 사용되는 Ghostscript 문서 변환 툴킷의 원격 코드 실행 취약점이 현재 공격에 악용되고 있습니다.
Ghostscript는 많은 Linux 배포판에 사전 설치되어 제공되며 ImageMagick, LibreOffice, GIMP, Inkscape, Scribus, CUPS 인쇄 시스템을 포함한 다양한 문서 변환 소프트웨어에서 사용됩니다.
CVE-2024-29510으로 추적된 이 형식 문자열 취약점은 모든 Ghostscript 10.03.0 및 이전 설치에 영향을 미칩니다. 이 취약점을 통해 공격자는 -dSAFER 샌드박스(기본적으로 활성화됨)를 이스케이프할 수 있습니다. 패치되지 않은 Ghostscript 버전은 샌드박스가 활성화된 후 uniprint 장치 인수 문자열의 변경을 방지하지 못하기 때문입니다.
이러한 보안 우회는 샌드박스가 일반적으로 차단하는 Ghostscript Postscript 인터프리터를 사용하여 명령 실행 및 파일 I/O와 같은 고위험 작업을 수행할 수 있으므로 특히 위험합니다.
“이 취약점은 종종 Ghostscript를 후드 아래에 사용하기 때문에 문서 변환 및 미리보기 기능을 제공하는 웹 애플리케이션 및 기타 서비스에 상당한 영향을 미칩니다.” 보안 취약점을 발견하고 보고한 Codean Labs 보안 연구원이 경고했습니다.
“귀하의 솔루션이 (간접적으로) Ghostscript를 사용하는지 확인하고 그렇다면 최신 버전으로 업데이트하는 것이 좋습니다.”
Codean Labs는 또한 방어자가 다음 명령으로 실행하여 시스템이 CVE-2023-36664 공격에 취약한지 감지하는 데 도움이 되는 이 Postscript 파일을 공유했습니다.
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
공격에 적극적으로 활용됨
Ghostscript 개발팀이 5월에 보안 결함을 패치한 반면, Codean Labs는 2개월 후에 기술적 세부 사항과 개념 증명 악용 코드가 포함된 보고서를 발표했습니다.
공격자는 이미 CVE-2024-29510 Ghostscript 취약점을 야생에서 악용하고 있으며, JPG(이미지) 파일로 위장한 EPS(PostScript) 파일을 사용해 취약한 시스템에 셸 액세스를 얻고 있습니다.
“생산 서비스에 *어디에* 고스트스크립트가 있다면 놀라울 정도로 사소한 원격 셸 실행에 취약할 가능성이 높으므로, 이를 업그레이드하거나 생산 시스템에서 제거해야 합니다.” 개발자 빌 밀이 경고했습니다.
“이 취약점에 대한 가장 좋은 완화책은 Ghostscript 설치를 v10.03.1로 업데이트하는 것입니다. 배포판이 최신 Ghostscript 버전을 제공하지 않더라도 이 취약점에 대한 수정 사항이 포함된 패치 버전을 출시했을 수 있습니다(예: Debian, Ubuntu, Fedora)”라고 Codean Labs가 덧붙였습니다.
1년 전, Ghostscript 개발자는 패치되지 않은 시스템에서 악의적으로 제작된 파일을 열면 발생하는 또 다른 심각한 RCE 결함(CVE-2023-36664)을 패치했습니다.
