Zahl der Angriffe auf Sicherheitslücke in ImageMagick steigt

Anja Schmoll-Trautmann,
ImageMagick (Bild: ImageMagick)

Ein auf der Skriptsprache Python basierender Exploit soll besonders gefährlich sein, da er dem Angreifer auf dem Webserver eine Shell öffnet. Ab diesem Punkt kann der Hacker direkt mit dem Webserver interagieren. Den Forschern ist bislang aber keine Website bekannt, die erfolgreich mit ImageTragick gehackt wurde.

Wie Sicherheitsforscher von CloudFlare und Sucuri berichten, nehmen Attacken auf Websites, die eventuell von einer Lücke im freien Softwarepaket ImageMagick betroffen sind, offenbar zu. Die Schwachstelle, die auch als ImageTragick bezeichnet wird, erlaubt Angreifern eine Remotecodeausführung. Hacker können so unter Umständen die Kontrolle über einen Webserver übernehmen.

Zahlreiche Exploit Kits haben CloudFlare zufolge die Schwachstelle mit der Kennung CVE-2016-3714 inzwischen implementiert. Ein auf der Skriptsprache Python basierender Exploit sei jedoch besonders gefährlich. “Die Parameter für das Program sind die die IP-Adresse und der Port der zu kontaktierenden Maschine. Der Python-Code stellt die Verbindung zu der Maschine her und öffnet dem Angreifer auf dem Webserver eine Shell. Ab diesem Punkt kann der Angreifer direkt mit dem Webserver interagieren”, so die Forscher.

Demnach sei also nur ein einziger Exploit für den Remotezugriff erforderlich. Danach hätten Angreifer die Möglichkeit, auf alle anderen Bereiche des Servers zuzugreifen, “so wie es ihnen gerade passt.”

CloudFlare hat eigenen Angaben zufolge bislang nur Versuche beobachtet, anfällige Server zu finden und anschließend Schadsoftware zu installieren. “Wir wissen bisher von keiner Website, die erfolgreich mit ImageTragick gehackt wurde”, erklärt der CloudFlare-Mitarbeiter John Graham-Cumming in einem Blogeintrag. “Es ist aber klar, das Hacker die Anfälligkeit aktiv testen werden, da sie neu ist und viele Server wahrscheinlich noch nicht gepatcht wurden.”

Dagegen melden Forscher von Sucuri zielgerichtete Angriffe auf einzelne Webserver mit als JPG-Bildern getarntem Schadcode. Die Hacker hätten auch hier versucht, eine Shell zu öffnen. Die Angriffe seinen bislang auf wenige Ziele beschränkt, was sich allerdings schon bald ändern könne.

“Wir sind neugierig, wie sich das weiterentwickelt”, kommentiert Sucuri-CTO Daniel Cid in einem Blogeintrag. Die Schwachstelle sei aber nur schwer auszunutzen, weswegen es derzeit nur wenige vorsichtige Angriffsversuche gebe.

Die Anfälligkeiten in ImageMagick sind den Entwicklern seit 21. April bekannt. Ein erster unvollständiger Patch wurde am 30. April veröffentlicht (Version 6.9.3-9). Seitdem wurden mehrere Updates zur Verfügung gestellt – die aktuelle Version 7.0.1-3 wird seit 9. Mai verteilt. Den Entwicklern zufolge soll sie einen verbesserten Fix enthalten.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de