Die IT-Sicherheitsfirma Octagon Networks hat mit ihrem Tool pwn.ai kritische Sicherheitslücken in der Grafikverarbeitungssoftware ImageMagick aufgespürt. Die Schwachstellen treten in Standardkonfigurationen unter mehreren weitverbreiteten Linux-Distributionen auf und können Angreifern das Einschleusen und Ausführen von Schadcode aus dem Netz oder das Schreiben und Lesen von Dateien sowie das Umgehen von Sicherheitsrichtlinien ermöglichen.

Wie das Unternehmen in seiner Analyse schreibt, sind Millionen Server in mehreren Konfigurationen anfällig. Das Tool hat mehrere Zero-Day-Lücken entdeckt, die mit der Sicherheitsrichtlinien-Architektur in ImageMagick unter jeder größeren Linux-Distribution sowie WordPress-Installationen auftreten können. Die IT-Sicherheitsforscher erklären, dass das Hochladen von manipulierten .pdf- oder .jpg-Dateien ausreicht, um dort Remote-Code-Ausführung zu erreichen.

Eingeschränkte Testumgebung

Die Testumgebung bestand aus einer Web-App mit minimaler Angriffsoberfläche. Sie stellt keine API oder interessante Felder bereit, sondern verarbeitet lediglich Rechnungen; sie hat auch kein clientseitiges JavaScript. Das Upload-Feld sei am interessantesten daran. Die hochgeladenen Dateien verarbeitet ImageMagick. Die Software ist laut Analyse auf Millionen Servern installiert, auf dem ersten Testsystem unter Ubuntu 22.04 ohne bekannte, ungepatchte Schwachstellen. Das KI-Tool hat daher ImageMagick als Angriffsvektor ausgemacht und es in seiner eigenen Sandbox installiert und analysiert.

Dabei fand es eine Schwachstellenverkettung, bei der sich Filterung mit Magic-Bytes von .svg-Dateien und eine PostScript-Filter-Richtlinie durch Nutzung des EPSI-Formats umgehen ließen. ImageMagick reagierte auf die Meldung mit einer angepassten Richtlinie, da die Standard-Richtlinien nur als Baseline-Template gedacht seien. Diese Standard-Richtlinien seien jedoch weitverbreitet im Einsatz, führen die IT-Forscher weiter aus. Sie kommen etwa in Ubuntu 22.04, Debian 11 und 12, Fedora/RHEL/CentOS, Arch Linux / Alpine Linux / OpenSUSE, Amazon Linux, Google Cloud Shell, macOS Homebrew und in den meisten Docker-Images zum Einsatz. Diese sind damit alle anfällig für die gefundenen Schwachstellen.

Auch mit der angepassten Richtlinie fand das KI-Tool weitere Sicherheitslücken, die die Filterung umgehen und Dateien auf die verwundbaren Systeme schreiben. Mit manipulierten Dateien im PDF-Format etwa ließ sich Schadcode-Schmuggel und -Ausführung aus dem Netz erreichen. In der als „Secure Policy“ genannten Richtlinie war es zudem noch möglich, Dateien etwa im /tmp-Verzeichnis zu lesen und zu schreiben. Damit ließen sich Denial-of-Service-Angriffe durch RAM-Verbrauch oder PHP-Session-Poisoning auslösen. Aber auch Codeschmuggel ist möglich, da die Skriptsprache von ImageMagick Dateien in jedem Pfad auf dem Laufwerk lesen und schreiben kann.

Tatsächliche Bedrohungslage

Die IT-Forscher schreiben, dass WordPress standardmäßig ImageMagick mittels PHP-ImageMagick-Erweiterung etwa zur Erstellung von Thumbnails, zur Änderung von Bildgrößen sowie zur Anzeige von PDF-Vorschauen nutzt. Es setzt dabei keine Sicherheitsrichtlinie für ImageMagick, sondern verlässt sich auf die Server-Standards. Die Standard-WordPress-Installationen sind somit sehr wahrscheinlich verwundbar. Das Gravity-Forms-Plug-in für WordPress mit mehr als zwei Millionen Installationen ermöglicht dadurch nicht authentifizierten Angreifern, Schadcode aus dem Netz einzuschmuggeln. Dafür sei die Payload jedoch komplex.

Die Analyse liefert einige Proof-of-Concepts (PoC) mit. ImageMagick hat ein betroffenes Modul (EPT) den Autoren des Berichts zufolge stillschweigend ausgebessert. Es fehle ein CVE-Eintrag, die Korrektur sei nicht als Sicherheitsfix deklariert und auf Ubuntu 22.04 mit ImageMagick 6.9.11-60 nicht zurückportiert worden, beschweren sie sich.

IT-Verantwortliche finden in der Analyse Gegenmaßnahmen, die sie ergreifen sollten. Dazu zählt das Entfernen von Ghostscript oder die Verarbeitung von PDFs in einer isolierten Sandbox ohne Netzwerkzugriff und mit Read-Only-Dateisystem. Wer WordPress nutzt, sollte sicherstellen, dass die Datei „policy.xml“ des Servers keine Uploads gestattet. Der XML-RPC von WordPress nimmt keine Prüfungen vor und sollte deaktiviert werden. Wenn Gravity Forms mit „Post Image“-Feld zum Einsatz kommt, sollten Admins in der ImageMagick-Richtlinie die Verarbeitung von PostScript unterbinden.

ImageMagick werkelt vielerorts oft unbemerkt im Hintergrund. Dabei werden in der Software öfter teils auch gravierende Sicherheitslücken geschlossen. Updates von Ende Februar haben etwa 40 Schwachstellen ausgebessert, von denen acht als hochriskant eingestuft waren. Die Bedrohung ist nicht nur akademischer Natur – Sicherheitslecks in ImageMagick werden auch in freier Wildbahn attackiert.

(dmk)

Mindestens 313 Mal wurde in 52 Ländern im Vorjahr das Internet teilweise oder vollständig abgeklemmt. 75 dieser Netzsperren in 33 Ländern hielten zudem das gesamte Jahr über an, wie der jährliche Bericht der Nichtregierungsorganisation Access Now und der KeepItOn-Koalition aufzeigt.

Demnach waren zum dritten Mal in Folge Konflikte in Ländern wie Kambodscha, der Demokratischen Republik Kongo oder Äthiopien der Hauptauslöser für Netzsperren. Das ist eine bemerkenswerte Entwicklung: Vor grob einem Jahrzehnt lagen solche Netzsperren im niedrigen einstelligen Bereich, im Vorjahr haben sie den Höchststand von 125 Blockaden in insgesamt 14 Ländern erreicht. Damit machten sie in der Statistik von KeepItOn rund 40 Prozent aller weltweiten Netzsperren aus.

Sperren gegen Unruhen

An zweiter Stelle folgten 64 Sperren aufgrund von Protesten oder politischer Instabilität. Im afrikanischen Togo kam es beispielsweise im Sommer 2025 zu Massenprotesten, getrieben vorrangig von Jugendlichen. Nach einer Repressionswelle der Regierung, die mindestens sieben Todesopfer forderte, blockierte sie teils monatelang den Zugang zu Online-Diensten wie Signal, Facebook und DuckDuckGo. Zudem drosselte sie tagsüber den allgemeinen Zugang zum Netz.

„ Jahr für Jahr streben Machthaber danach, Wahlen zu beeinflussen, Menschen zum Schweigen zu bringen und zu isolieren und unsere Rechte mit der gezielten Abschaltung des Internets ungestraft anzugreifen“, sagt Felicia Anthonio, die für Access Now die KeepItOn-Kampagne koordiniert.

Das kann sich auch auf weniger dramatischen Ebenen abspielen. In 48 Fällen wurde das Internet wegen „Informationskontrolle“ gesperrt, etwa begleitend zu schulischen Abschlussprüfungen in elf Fällen, um Schummeln zu verhindern, so der KeepItOn-Bericht.

Langzeitbeobachtung zeigt Trends auf

Die Initiative besteht seit dem Jahr 2017 und sammelt Datenmaterial, das bis ins Jahr 2016 zurückreicht. Erhoben werden die Daten mit der sogenannten STOP-Methode, die technische Ansätze mit qualitativen mischt. Die Rohdaten stehen frei verfügbar im Netz, zudem bietet Access Now ein eigenes Dashboard an.

Der Trend, bei Bedarf das Internet abzuklemmen, dürfte insbesondere bei autoritären Regierungen anhalten. So ordnete Iran nach Massenprotesten Anfang des Jahres ein nahezu vollständiges Internet-Blackout des Landes an. Die Proteste wurden zwar inzwischen vom Krieg der USA auf Iran abgelöst, die Blockade besteht jedoch bis zum heutigen Tag fort. Eine Kommunikation mit der Außenwelt ist seitdem fast unmöglich.

Selten hat eine Podcastepisode so viel weiterführendes Feedback produziert, wie die vorangegangene zu GrapheneOS. Die Hosts haben diverse Tipps, Links und Erfahrungsberichte erhalten, die sie natürlich gerne weitergeben – zusammen mit ein paar eigenen Updates zu Themen, die in früheren Folgen zur Sprache kamen. Im weiteren Verlauf der Folge geht es dann viel um alte und neue Bugs und verschiedene Pläne Googles zur „Post Quantum“-Welt.

Den Einstieg macht Sylvester mit einer sehr alten Sicherheitslücke, nämlich einem Pufferüberlauf in Unix Version 4 von 1973 – der dennoch ganz aktuell eine CVE-Nummer erhalten hat. Die Hosts diskutieren, was an der Lücke interessant ist, wieso auch vermeintlich(?) irrelevante Lücken eine CVE-Nummer erhalten und wieso CVE-2025-71263 kein „1973“ im Namen trägt.

Weiter geht es mit neuen und sehr viel schmerzhafteren Sicherheitsproblemen. Christopher erzählt von Lücken in Citrix Gateway und Netscaler ADC, die seit der Podcast-Aufzeichnung noch kritischer wurden, weil sie nun aktiv ausgenutzt werden. Außerdem debattieren die beiden Hosts Coruna und DarkSword, zwei Exploit-Kits, die beide gleich eine ganze Reihe Lücken enthalten und durch deren Kombination vergleichsweise neue iOS-Versionen befallen können.

Gegen Ende kommt endlich das Leib-und-Magen-Thema des Podcasts zur Sprache: Public-Key-Infrastruktur (PKI). Google treibt einen Vorschlag voran, die im Web jahrzehntelang etablierten Zertifikate und Zertifikatsketten nach dem X.509-Standard abzulösen. Sie skalieren nicht gut auf die deutlich größeren Schlüssel und Signaturen von quantensicheren Kryptografieverfahren (post-quantum cryptography, PQC) – und mit dieser Umstellung auf PQC hat es Google offenbar eilig. Schon bis 2029 will der Internetgigant auf die neuen Verfahren umsatteln, deutlich schneller als es beispielsweise das BSI vorsieht. Die Hosts erzählen, welche Schritte Google neben der PKI-Initiative aktuell geht, und überlegen, woher diese Eile rühren könnte.

(syt)