Пролом в GoAhead ставить під удар сотні тисяч пристроїв

27.12.2017 | 10:40
Дослідники з австралійської компанії Elttam виявили в популярному веб-сервері GoAhead вразливість, яка дозволяє віддалено виконати довільний код на мережному пристрої. Компанія Embedthis Software, яка розробила GoAhead, вже випустила патч; тепер його повинні розтиражувати виробники обладнання, в який вбудований цей сервер.

Згідно блог-запису Elttam, пролом CVE-2017-17562 присутній у всіх версіях GoAhead нижче 3.6.5 (аж до 2.5.0 - більш ранні версії не тестувалися за відсутністю зразків).

Дана уразливість пов'язана з роботою функції cgiHandler, яка ініціалізує новий процес програми CGI, використовуючи параметри з HTTP-запиту. Як виявилося, при цьому фільтруються тільки REMOTE_HOST і HTTP_AUTHORIZATION, а інші параметри сприймаються як довірені. Це дозволяє за допомогою спеціально сформованого HTTP-запиту впровадити змінні, здатні змінити дефолтний поведінку динамічного редактора зв'язків glibc і домогтися таким чином завантаження довільного об'єкта загального користування, зазначеного в запиті.

Дослідники підкреслюють, що знайдена ними вразливість загрожує віддаленим виконанням довільного коду в тому випадку, коли у пристрої активовано підтримку CGI (Common Gateway Interface - загальний інтерфейс шлюзу) з можливістю динамічного підключення виконуваних файлів (CGI-скриптів). Elttam також опублікувала PoC-код на GitHub, щоб дослідники змогли перевірити пристрої на наявність уразливості.

Про нову проломи було повідомлено в Embedthis, і незабаром з'явилася латочка в складі нової версії GoAhead - 3.6.5. Відповідні поновлення для численних роутерів, принтерів і інших мережевих пристроїв, що використовують цей вбудований сервер, повинні бути випущені вендорами, і цей процес може розтягнутися на місяці, а можливо, й роки. Деякі пристрої взагалі не отримають оновлення прошивки, так як термін їх підтримки закінчився.

На сайті компанії про GoAhead сказано, що цей вбудований веб-сервер в даний час використовують в своїх продуктах такі відомі виробники, як Avaya, Comcast, Oracle, D-Link, HP, Siemens, Honeywell, Canon і Motorola. Пошук через Shodan виявив в Інтернеті близько 500 тис. Пристроїв з GoAhead, хоча їх кількість може коливатися через різницю в інтернет-активності.

Зауважимо, це далеко не перша пролом, виявлена в GoAhead. Так, в березні в IP-камерах китайського виробництва було виявлено ряд вразливостей, також пов'язаних з цим мініатюрним веб-сервером. Практика показує, що творці IoT-зловредів швидко пускають в хід подібні помилки і недоліки, які відкривають можливість для масового зараження.
Elttam, уразливість, GoAhead
По матеріалам threatpost.ru
Стрічка новин: FacebookLiveJournalЯндекс

Коментарі (0)
Залиште коментар:Captchaвідновити код перевірки