Security Affairsは9月7日(現地時間)、「Researcher published PoC exploit for Ghostscript zero-daySecurity Affairs」において、Ghostscriptにおけるゼロデイ脆弱性を悪用した概念実証コードがセキュリティ研究者によって公開されたことを伝えた。この脆弱性を悪用されると、リモートから対象のシステム上で任意のコードを実行し、完全な制御権を奪い取ることが可能になるという。概念実証コードが公開されたことで、この脆弱性が実際の攻撃に悪用されるリスクは大きく高まったことになる。

GhostscriptはPDFやPostScriptファイルを処理するためのライブラリで、ImageMagickをはじめとする主要な画像変換ツールやファイルアップロードツールで広く利用されている。このことは、これらのツールを利用する多くのサーバが、Ghostscriptの脆弱性の影響を受けることを意味している。

問題の概念実証コードは、セキュリティ研究者のNguyen The Duc氏によってGitHub上で公開された。主要な研究者によって、このコードが実際に動作することが確認されているとのことだ。

  • 概念実証コードの公開を伝えたNguyen The Ducのツイート

    概念実証コードの公開を伝えたNguyen The Ducのツイート

この概念実証コードはPythonで記述されており、GhostScript 9.50で動作するという。このコードでは、画像処理パイプラインを回避することで、対象のOS上で悪意のあるコードを実行する不正なSVGファイルをアップロードする。Nguyen氏は、この概念実証コードは教育目的でのみ作成され、法律違反や個人的な利益のために使用することはできないと追記している。

The Recordの次の記事によれば、概念実証コードを公開したのはNguyen氏だが、脆弱性を発見したのは別のセキュリティ研究者であるEmil Lerner氏だという。

Lerner氏は2021年8月のセキュリティ会議の講演でこの脆弱性に関する技術的な詳細を発表しており、Nguyen氏の概念実証コードはこの講演を受けて作成されたもののようだ。Lerner氏は、この問題に対する修正パッチは認識していないという。

ITシステムの管理者は、自身が管理するサーバ上でGhostscriptを利用するツールが有効になっていないかを確認し、もし有効な場合は今後のリリース情報に目を光らせておく必要があるだろう。