近日,360安全監測與響應中心(360cert)監測到一個重大的安全漏洞——“魔圖”漏洞,凡是可以上傳圖片的網站或APP都可能受到影響,黑客上傳一張包含惡意代碼的圖片就可攻陷網站服務器,隨意關機甚至刪除或竊取用戶數據,國內外已有大量知名網站中招,上億網民數據安全遭遇嚴重威脅。
魔圖漏洞存在于ImageMagick組件中,該軟件組件屬于互聯網的基礎組件,是功能強大、穩定而且開源的工具集和開發包,可以用來讀、寫和處理超過89種基本格式的圖片文件,包括流行的TIFF、JPEG、GIF、 PNG、PDF以及PhotoCD等格式,用途非常廣泛,包括縮略圖生成,圖片照片裁剪、圖片合成等功能。
“只要上傳一張包含惡意代碼的圖片,就有可能讓服務器癱瘓。”360cert安全專家趙晉龍介紹,用戶在某APP上傳一個圖片頭像,后臺的服務器要對這個圖片進行裁剪,以適合網站需求,裁剪的同時自動啟用到ImageMagick組件。然而這個組件存在著一個邏輯性錯誤,導致出現了這個魔圖漏洞。黑客可以通過漏洞上傳一張帶有木馬的圖片,寫入新的命令,從而攻擊后臺服務器,甚至可能帶來刪除用戶數據、停止網絡服務等問題,會對服務器廠商和用戶造成巨大的損失和麻煩。
安全專家篩查發現,用戶用微信聊天時候,上傳一張圖片,微信服務器會對照片進行壓縮的同時觸發ImageMagick組件,黑客攻擊者可以利用漏洞找到存儲圖片的服務器,植入木馬、設置后門,從而控制服務器。
經過360cert的篩查,此前,人人網、網易163郵箱、途牛、騰訊郵箱、新浪博客、微信等業務均受到影響。昨天晚間,360cert已經將漏洞提交給了騰訊應急響應中心,今天上午,記者了解到,微信已經修復了漏洞。
趙晉龍介紹,目前看來,這是今年以來對互聯網服務商影響最大的安全漏洞,攻擊者可以利用該漏洞在服務器上執行任意系統命令,由于和應用邏輯強相關,通過掃描等方式無法批量準確檢測,初步估計,這個漏洞可能會影響到上億用戶。
雖然官方于5月3日發布了相關修補補丁,但360cert專家發現大部分通過apt、yum等Linux軟件源安裝的ImageMagick組件都還存在漏洞。專家建議暫時禁用相關上傳功能,通過修改配置文件禁用ImageMagick,并及時將ImageMagick組件升級到6.9.3-10版本。
京公網安備 11010502049343號