Хакер #305. Многошаговые SQL-инъекции
Веб-сервер GoAhead разработан небольшой американский компанией Embedthis Software LLC и, согласно официальному сайту, данное решение активно используют в своих продуктах такие крупные производители, как Comcast, Oracle, D-Link, ZTE, HP, Siemens, Canon и так далее. Такая популярность GoAhead объясняется просто, дело в том, что веб-сервер может работать даже на IoT-устройствах, чьи ресурсы сильно ограничены, то есть роутерах, принтерах, камерах и прочем сетевом оборудовании.
Исследователи австралийской ИБ-компании Elttam сообщают, что им удалось обнаружить опасную RCE-уязвимость в составе GoAhead ниже версии 3.6.5. Проблема получила идентификатор CVE-2017-17562. Баг сопряжен с работой скриптов CGI и эксплуатировать его можно лишь в том случае, если поддержка CGI включена, равно как и поддержка dynamically linked executables.
Эксперты уже уведомили о бреши разработчиков Embedthis Software LLC, и те представили исправленную версию GoAhead. Однако исследователи Elttam предупреждают, что уязвимости подвержены все предыдущие вариации веб-сервера (хотя тестирование проводилось лишь до версии 2.5.0), и это может стать большой проблемой.
Дело в том, что теперь производители многочисленных устройств с GoAhead на борту должны будут предоставить своим пользователям обновления для уязвимого оборудования. К сожалению, в этой области интернета вещей положение дел весьма печально, — как показывает практика, «умные» устройства могут не получать обновлений долгие месяцы или даже годы, а многие гаджеты и вовсе останутся без патчей навсегда, так как срок официальной поддержки для них уже истек.
По данным поисковика Shodan, в настоящее время в сети можно обнаружить 500-700 тысяч устройств с уязвимыми версиями GoAhead на борту. И ситуация лишь усугубляется тем, что наряду с отчетом об уязвимости эксперты Elttam опубликовали и proof-of-concept эксплоит.
Стоит заметить, что это не первый случай, когда ИБ-специалисты находят в GoAhead серьезные уязвимости. К примеру, в марте 2017 года исследователь Пирри Ким (Pierre Kim) сообщил, что из-за проблем в различных имплементациях GoAhead под угрозой находятся свыше 1200 моделей IP-камер 354 разных производителей.
Разумеется, веб-сервер и уязвимости в нем не укрылись от внимания злоумышленников. IoT-ботнеты, построенные на базе Mirai, Hajime, BrickerBot, Persirai и другой малвари, уже давно взяли на вооружение баги в GoAhead. Увы, теперь, учитывая доступность эксплоита для новой проблемы, эксперты прогнозируют очередную волну атак на «дырявые» устройства интернета вещей.