Böse Bilder: Akute Angriffe auf Webseiten über ImageMagick

Die Gnadenfrist ist abgelaufen. Wer ein ungepatchtes ImageMagick auf seinem Server einsetzt, sollte schnellstens handeln, denn nun sind Exploits im Umlauf.

In Pocket speichern vorlesen Druckansicht 30 Kommentare lesen
Böse Bilder: Akkute Angriffe auf Webseiten über ImageMagick

(Bild: Kristina, CC BY-ND 2.0)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Die vor kurzem entdeckten Sicherheitslücken in ImageMagick, kollektiv als ImageTragick bezeichnet, werden nun verstärkt gegen Webseiten-Betreiber eingesetzt. Sicherheitsforscher beim CDN-Anbieter CloudFlare und bei der Sicherheitsfirma Sucuri haben eine ganze Handvoll von Exploits in freier Wildbahn entdeckt. Dabei handelt es sich um Linux-Kommandozeilen-Befehle, die vorgeben, Bilddateien zu sein. Beim Hochladen des Codeschnipsels auf einen verwundbaren Server wird dieses ausgeführt und der Angreifer übernimmt die Kontrolle.

Eins der bösartigen Python-Skripte, die über die ImageMagick-Lücke eingeschleust und ausgeführt werden.

Einige der Exploits scheinen nur dem Testen von Schwachstellen auf den Servern zu dienen und führen (noch) keinen Schadcode aus. Andere Varianten laden ein Python-Skript herunter, das eine Shell auf dem Server öffnet und so dem Angreifer Zugang verschafft. Bis jetzt haben die Forscher noch keine Webseiten gefunden, die über diesen Infektionsweg kompromittiert wurden. Viel bedeutet das allerdings nicht, da die Angreifer ihr Vorgehen relativ leicht verschleiern können, wenn sie erst einmal Kontrolle über den Server haben.

Auf jeden Fall sollten Admins nun schnell reagieren, falls einige ihrer Systeme die Lücke noch aufweisen. Die Gnadenfrist für Web-Apps, die Bilduploads erlauben und ImageMagick nutzen, scheint abgelaufen zu sein. Eine abgesicherte Version von ImageMagick steht bereit und die meisten Linux-Distributionen verteilen sie nun über ihre Paketmanager. Die Bibliothek GraphicsMagick, die vor Jahren aus demselben Code hervorgegangen ist, scheint ebenfalls für viele der Lücken angreifbar zu sein. Für diese Bibliothek gibt es ebenfalls Patches.

Update - 10.05.2016, 16:30 Uhr

Informationen zur Verfügbarkeit von Patches hinzugefügt. (fab)