Die vor kurzem entdeckten, kollektiv als ImageTragick bezeichneten, Sicherheitslücken in ImageMagick werden gegen Webseiten-Betreiber nun verstärkt eingesetzt. Sicherheitsforscher bei der Sicherheitsfirma Sucuri und beim CDN-Anbieter CloudFlare haben in freier Wildbahn eine ganze Handvoll von Exploits entdeckt. Es handelt sich dabei um Linux-Kommandozeilen-Befehle, die vorgeben, Bilddateien zu sein. Der Codeschnipsel wird beim Hochladen auf einen verwundbaren Server ausgeführt und der Angreifer übernimmt die Kontrolle.

Einige der Exploits führen (noch) keinen Schadcode aus und scheinen nur dem Testen von Schwachstellen auf den Servern zu dienen. Andere Varianten laden ein Python-Skript, das eine Shell auf dem Server öffnet und so dem Angreifer Zugang verschafft, herunter. Die Forscher haben bis jetzt noch keine Webseiten, die über diesen Infektionsweg kompromittiert wurden, gefunden. Da die Angreifer ihr Vorgehen relativ leicht verschleiern können, wenn sie über den Server erst einmal Kontrolle haben, bedeutet das allerdings nicht viel.

Admins sollten nun, falls einige ihrer Systeme die Lücke noch aufweisen, auf jeden Fall schnell reagieren. Die meisten Linux-Distributionen verteilen die breitstehende, abgesicherte Version von ImageMagick nun über ihre Paketmanager.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE