Брешь в GoAhead ставит под удар сотни тысяч устройств

27.12.2017 | 10:40
Исследователи из австралийской компании Elttam обнаружили в популярном веб-сервере GoAhead уязвимость, позволяющую удаленно выполнить произвольный код на сетевом устройстве. Компания Embedthis Software, разработавшая GoAhead, уже выпустила патч; теперь его должны растиражировать производители оборудования, в которое встроен этот сервер.

Согласно блог-записи Elttam, брешь CVE-2017-17562 присутствует во всех версиях GoAhead ниже 3.6.5 (вплоть до 2.5.0 — более ранние версии не тестировались за отсутствием образцов).

Данная уязвимость связана с работой функции cgiHandler, которая инициализирует новый процесс программы CGI, используя параметры из HTTP-запроса. Как оказалось, при этом фильтруются только REMOTE_HOST и HTTP_AUTHORIZATION, а остальные параметры воспринимаются как доверенные. Это позволяет с помощью специально сформированного HTTP-запроса внедрить переменные, способные изменить дефолтное поведение динамического редактора связей glibc и добиться таким образом загрузки произвольного объекта общего пользования, указанного в запросе.

Исследователи подчеркивают, что найденная ими уязвимость грозит удаленным исполнением произвольного кода в том случае, когда на устройстве включена поддержка CGI (Common Gateway Interface — общий интерфейс шлюза) с возможностью динамического подключения исполняемых файлов (CGI-скриптов). Elttam также опубликовала PoC-код на GitHub, чтобы исследователи смогли проверить устройства на наличие уязвимости.

О новой бреши было доложено в Embedthis, и в скором времени появилась заплатка в составе новой версии GoAhead — 3.6.5. Соответствующие обновления для многочисленных роутеров, принтеров и других сетевых устройств, использующих этот встраиваемый сервер, должны быть выпущены вендорами, и этот процесс может растянуться на месяцы, а возможно, и годы. Некоторые устройства вообще не получат обновление прошивки, так как срок их поддержки закончился.

На сайте компании о GoAhead сказано, что этот встраиваемый веб-сервер в настоящее время используют в своих продуктах такие известные производители, как Avaya, Comcast, Oracle, D-Link, HP, Siemens, Honeywell, Canon и Motorola. Поиск через Shodan обнаружил в Интернете порядка 500 тыс. устройств с GoAhead, хотя их количество может колебаться из-за разницы в интернет-активности.

Заметим, это далеко не первая брешь, выявленная в GoAhead. Так, в марте в IP-камерах китайского производства был обнаружен ряд уязвимостей, также связанных с этим миниатюрным веб-сервером. Практика показывает, что создатели IoT-зловредов быстро пускают в ход подобные ошибки и недочеты, открывающие возможность для массового заражения.
Elttam, уязвимость, GoAhead
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код