ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ และพบรายงานเกี่ยวกับ เทคนิคการโจมตีผ่านการประมวลผลไฟล์ภาพในซอฟต์แวร์ ImageMagick ซึ่งอาจถูกใช้เป็นช่องทางในการรันคำสั่งบนระบบ (Remote Code Execution: RCE) ได้
ImageMagick เป็นเครื่องมือโอเพนซอร์สที่ถูกใช้งานอย่างแพร่หลายในระบบ Web Server และระบบจัดการเนื้อหา (CMS) เช่น WordPress สำหรับการแปลงและประมวลผลไฟล์ภาพ ทำให้ระบบที่มีการอัปโหลดไฟล์จากผู้ใช้งานมีความเสี่ยง หากไม่มีมาตรการควบคุมที่เหมาะสม
1. รายละเอียดลักษณะความเสี่ยง
ความเสี่ยงดังกล่าวเกิดจากพฤติกรรมของ ImageMagick ในการประมวลผลไฟล์ภาพ ซึ่งในบางกรณีอาจทำการประมวลผลข้อมูลภายในไฟล์ (เช่น metadata หรือโครงสร้างไฟล์) โดยไม่ได้มีการตรวจสอบหรือจำกัดการทำงานอย่างเพียงพอ ซึ่งผู้โจมตีสามารถสร้างไฟล์ภาพที่ถูกออกแบบมาเป็นพิเศษ (malicious crafted image file) และอัปโหลดเข้าสู่ระบบ เมื่อระบบนำไฟล์ดังกล่าวไปประมวลผล อาจทำให้คำสั่งที่ถูกฝังไว้ภายในไฟล์ถูกเรียกใช้งาน
ลักษณะการโจมตี
• อัปโหลดไฟล์ภาพที่ถูกดัดแปลง เช่น .jpg หรือ .png
• ฝัง payload ภายในโครงสร้างไฟล์หรือ metadata
• เมื่อระบบประมวลผลภาพ อาจถูกใช้เป็นช่องทางในการรันคำสั่งบนเซิร์ฟเวอร์
2. ผลกระทบ
2.1 อาจถูกใช้เพื่อรันโค้ดอันตรายบนเซิร์ฟเวอร์ (Remote Code Execution)
2.2 อาจนำไปสู่การเข้าควบคุมระบบ Web Server
2.3 อาจถูกใช้เป็นช่องทางในการฝัง Web Shell หรือมัลแวร์เพิ่มเติม
2.4 กระทบระบบที่มีการประมวลผลไฟล์ภาพจากผู้ใช้งาน
3. ระบบที่อาจได้รับผลกระทบ
3.1 ระบบที่ใช้ ImageMagick ในการประมวลผลภาพ
3.2 Web Server บน Linux
3.3 เว็บไซต์ที่มีฟังก์ชันอัปโหลดไฟล์ เช่น WordPress หรือระบบ CMS อื่น
3.4 ระบบที่ไม่มีการตรวจสอบหรือจำกัดประเภทไฟล์อย่างเหมาะสม
4. แนวทางการป้องกันและแก้ไข
4.1 อัปเดต ImageMagick เป็นเวอร์ชันล่าสุด
4.2 ตรวจสอบการตั้งค่า policy.xml เพื่อจำกัดการใช้งานฟังก์ชันที่มีความเสี่ยง
4.3 จำกัดประเภทไฟล์ที่อนุญาตให้อัปโหลด และตรวจสอบไฟล์ก่อนประมวลผล
4.4 ปิดการใช้งานฟีเจอร์หรือ delegate ที่ไม่จำเป็น
4.5 ใช้ Web Application Firewall (WAF) เพื่อช่วยกรองคำขอที่ผิดปกติ
5. แนวทางลดความเสี่ยง (Mitigation)
5.1 แยกสภาพแวดล้อมการประมวลผลภาพออกจากระบบหลัก (Sandbox / Container)
5.2 เฝ้าระวังพฤติกรรมผิดปกติ เช่น การเรียกใช้งาน ImageMagick ที่ไม่ปกติ
5.3 ใช้หลักการ Least Privilege เพื่อลดผลกระทบในกรณีที่ระบบถูกโจมตี
5.4 ตรวจสอบ log เพื่อค้นหาพฤติกรรมที่เกี่ยวข้องกับการอัปโหลดไฟล์ผิดปกติ
แหล่งอ้างอิง