آسیب‌پذیری بحرانی به کار کتابخانه ImageMagick یاهو پایان داد

ImageMagick یک کتابخانه متن باز است که به کاربران اجازه می‌داد ابعاد تصاویر را تغییر داده، عکس‌ها را کراپ کرده و تغییرات دلخواه خود را روی تصاویر پیاده‌سازی کنند. کتابخانه فوق از سوی زبان‌های برنامه‌نویسی مطرحی همچون سی پلاس پلاس، پی‌اچ‌پی، پایتون، روبی، پرل و ... پشتیبانی می‌شد. لازم به توضیح است کتابخانه یاد شده سال گذشته میلادی نیز سر و صدای زیادی به پا کرد. به واسطه آن‌که یک آسیب‌پذیری روز صفر موسوم به ImageTragick در این کتابخانه شناسایی شد. آسیب‌پذیری فوق به هکرها اجازه می‌داد تصاویر جعلی و همچنین مخرب را آپلود کرده و در ادامه کدهای مخرب خود را روی سرورها اجرا کنند.

کریس ایوان، پژوهش‌گر امنیتی هفته گذشته یک قطعه کد مفهومی 18 بایتی را به صورت برخط منتشر کرد و نشان داد هکرها از طریق این قطعه کد کوچک قادر هستند به تصاویر ضمیمه شده در ایمیل‌های یاهو دسترسی داشته و این تصاویر را منتشر کنند. این آسیب‌پذیری که به نام خون‌ریزی یاهو (Yahoobleed) معروف شده است، به هکرها اجازه می‌داد تصاویر را از حافظه سرورها به سرقت بروند. اکسپلویتی که این کارشناس امنیتی موفق شده آن‌را کشف کند و جزییات آن‌را به طور عمومی منتشر کند، از طریق یک آسیب‌پذیری در کتابخانه ImageMaick مورد استفاده قرار می‌گرفت. ایوان از برچسب Yahoobleed #1 برای توصیف این آسیب‌پذیری استفاده کرده است. به واسطه آن‌که رخنه فوق باعث می‌شد این سرویس هرگونه محتوایی که در حافظه سرور قرار داشت را به بیرون ارسال کند. آسیب‌پذیری فوق تنها در ارتباط با فرمت فایلی RLE بوده است. برای سوء استفاده از این آسیب‌پذیری، هکر ابتدا باید فایل‌های جعلی RLE را ایجاد کرده و در ادامه برای آدرس ایمیل قربانی ارسال کند. در مرحله بعد می‌بایست حلقه‌ای از فرمان‌های خالی RLE را تولید می‌کرد تا محتوای درون حافظه سرور را به دست آورد.

کریس ایوان برای آن‌که نشان دهد چنین حمله‌ای در دنیای واقعی امکان‌پذیر است، یک کد مفهومی 18 بایتی را ایجاد کرد و در ادامه این ضمیمه آلوده را برای آدرس ایمیل خودش ارسال کرد. زمانی که این ایمیل و تصویر مخرب ضمیمه شده به آن در حساب کاربری ایوان دریافت شد، کتابخانه ImageMagick فرآیند پردازش تصویر را آغاز کرد و در ادامه سعی کرد پیش‌نمایشی از تصویر را نشان دهد، حال آن‌که کدهای مخرب ایوان باعث شدند تا تصویر خرابی به نمایش درآید.

هنگامی که کاربر سعی می‌کند روی تصویر کلیک کند، وضعیت پیش‌نمایش به نمایش در می‌آید و به جای تصویری که هکر ارسال کرده، تصویری که در حافظه سرور قرار دارد را نشان می‌دهد. در شرایطی که آسیب‌پذیری‌هایی همچون خون‌ریزی قلبی (Heartbleed) و خون‌ریزی کلاود (Cloudbleed) باعث افشا شدن محتوای حافظه خارج از محدوده موجود می‌شدند در آسیب‌پذیری خون‌ریز یاهو به منظور افشا اطلاعات از مقادیر مقداردهی نشده استفاده می‌شد. یاهو به محض دریافت جزییات مربوطه ضمن وصله کردن این آسیب‌پذیری تصمیم گرفت این کتابخانه مشکل‌دار را برای همیشه بازنشسته کند. کریس ایوان به پاس شناسایی و گزارش این آسیب‌پذیری مبلغ 18 هزار دلار پاداش از یاهو دریافت کرد. اما این محقق گفت که دوست دارد جایزه خود را به یک موسسه خیریه تحویل دهد. یاهو نیز از این پیشنهاد استقبال کرد و جایزه او را دو برابر کرده و به مبلغ 28 هزار دلار افزایش داد.