Уязвимость в web-сервере GoAhead позволяет удаленно взламывать IoT-устройства

Исследователь безопасности Дэниэл Ходсон (Daniel Hodson) обнаружил уязвимость в программном обеспечении web-сервера GoAhead, встроенного в ряд устройств из сферы "Интернета вещей" (IoT).

Согласно заявлению на сайте производителя, GoAhead используется такими компаниями, как IBM, HP, Oracle, Boeing, D-Link и Motorola. По данным поисковика Shodan, на сегодняшний день сервер используется в 735 тыс. устройств.

Уязвимость CVE-2017-17562 позволяет удаленному злоумышленнику внедрить вредоносный код в затронутые устройства, после чего взять их под контроль и шпионить за владельцем гаджета. Проблема затрагивает версии GoAhead 3.6.4 и более ранние.

Уязвимое программное обеспечение присутствует в ряде интернет-маршрутизаторов под управлением ОС Linux, домашних камерах слежения и многих других устройствах с возможностью подключения к интернету.

Проблема заключается в процессе обработки GoAhead запросов браузеров к CGI-программам, генерирующим динамические web-страницы. Злоумышленник может задать произвольные переменные окружения для процесса в программе с помощью специально сформированного HTTP-запроса. Хакер может включить в запрос вредоносный код, взломать программу и взять уязвимое устройство под контроль.

Уязвимость является результатом инициализации окружения дочерних CGI-сценариев с использованием недоверенных параметров в HTTP запросе. Проблема затрагивает системы, на которых включена в CGI поддержка динамической компоновки исполняемых файлов (CGI-сценариев). Подобное поведение совместно с динамическим компоновщиком glibc можно использовать для переопределения переменных (например, LD_PRELOAD) и удаленного выполнения произвольного кода.

По словам разработчика GoAhead компании EmbedThis, уязвимость затрагивает только устройства и серверы, содержащие исполняемые файлы на основе CGI и количество таких устройств невелико.

«Большинство клиентов GoAhead не используют CGI, поскольку GoAhead имеет лучшие и более быстрые альтернативы», - заявили в компании.

Исследователь уведомил компанию о проблеме и уязвимость была исправлена в версии GoAhead 3.6.5. Ходсон также опубликовал код PoC-эксплоита на портале Github.

CGI (Common Gateway Interface) - стандарт интерфейса, используемого для связи внешней программы с web-сервером.