Zagłada IoT – jednen z najpopularniejszych serwerów HTTP w IoT podatny na zdalne, proste wykonanie kodu

18 grudnia 2017, 17:53 | W biegu | komentarzy 7
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Podatność  CVE-2017-17562 występuje w web serwerze GoAhead, wykorzystywanym przez przeszło 700 000 urządzeń dostępnych w Internecie (wg. cytowanego w oryginalnym wpisie Shodana; Zoomeye potrafi wskazać nawet ~2 000 000 urządzeń).

Podatne są wszystkie wersje serwera GoAhead < 3.6.5  – a umożliwiają one zdalne wykonanie kodu – na urządzeniach klasy IoT będzie to najczęściej root. Często nie będzie to wymagało żadnego uwierzytelnienia…

Dostępny jest też gotowy exploit,  z wariantami na ARM/MIPS/oraz architekturę Intela (32 oraz 64 bity), który technicznie sprowadza się do załadowania swojej biblioteki (ze złośliwym wykorzystaniem LD_PRELOAD) do binarki webserwera:

Ostatnia głośna akcja związana ze zmienną LD_PRELOAD, o której pamiętam dotyczyła privilege escalation we FreeBSD (można było wtedy załadować dowolną, własną bibliotekę do dowolnej suidowanej binarki).

Warto zwrócić uwagę, że zapewne większość urządzeń używających serwera GoAhead nigdy nie doczeka się patcha.

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Pi7er

    …a ostrzegali o tym na DefConie w tym roku… To wiekszosc sie smiala i wychodzila w polowie talka….

    Odpowiedz
  2. Andrzej

    Gdzie wy widzicie 700k urządzeń na shodanie? Ja tam widzę ledwo 150k :(

    Odpowiedz
  3. Pawel

    Z tego co wstepnie doczytalem, to problem dotyczy jedynie CGI. Nie wszyscy uzywaja CGI wiec chyba generalizujecie za bardzo…

    Odpowiedz
    • Generalnie to tak, ale akurat CGI jest w IoT mocno popularne…

      Odpowiedz

Odpowiedz