Grave problema di sicurezza per ImageMagick, pacchetto di librerie e strumenti di processing usato da un gran numero di siti Web per la gestione e la modifica al volo delle immagini caricate dagli utenti: il codice è vulnerabile, le vulnerabilità sono già sfruttate dai cyber-criminali e le patch non sono ancora pronte.
Gli sviluppatori di ImageMagick hanno riconosciuto l’esistenza del problema, anzi, dei problemi nel loro codice, soprattutto per quanto riguarda la vulnerabilità più grave classificata come CVE-2016-3714: la falla è già stata ribattezzata ImageTragick , e può portare all’esecuzione di codice malevolo da remoto con l’upload di file grafici appositamente malformati.
Il problema nel codice di ImageMagick è di quelli “sistemici”, visto che si parla di un pacchetto di tool usato da un gran numero di siti più o meno popolari (CMS, social network, forum, blog) nelle sue diverse incarnazioni in codice PHP (imagick), Ruby (rmagick, paperclip), Node.js (imagemagick) e Python.
Oltre alla già citata esecuzione di codice da remoto, i potenziali rischi derivanti dall’abuso delle falle includono la modifica, la cancellazione o la compromissione dei file presenti sui server vulnerabili. Al momento gli sviluppatori sono al lavoro su una patch, mentre per mitigare gli attacchi già in corso è possibile applicare alcune misure restrittive al funzionamento di ImageMagick direttamente sul server.
Alfonso Maruccia