Порядка 2 тыс. HTTP-серверов Nostromo рискуют стать жертвами кибератак

Порядка 2 тыс. HTTP-серверов Nostromo рискуют стать жертвами кибератак

Все версии Nostromo уязвимы к обходу каталога и выполнению произвольного кода.

image

Исследователь безопасности под псевдонимом Sudoka обнаружил критическую уязвимость в HTTP-сервере Nostromo с открытым исходным кодом.

По словам Sudoka, уязвимость (CVE-2019-16278) существует из-за ошибки в механизме проверки URL-адресов Nostromo, приводящей к обходу каталога. Неавторизованный злоумышленник может воспользоваться ею, заставить сервер указать на shell-файл наподобие /bin/sh и выполнить произвольные команды.

Если говорить точнее, проблема связана с ошибкой в функции http_verify. Данная функция позволяет обращаться к содержимому файловой системы за пределами корневого каталога сайта путем передачи последовательности ".%0d./". Поскольку проверка на наличие символов "../" осуществляется перед выполнением функции нормализации пути, где из строки удаляются символы перевода строки (%0d), злоумышленник способен осуществить атаку.

Атакующий может вместо CGI-скрипта обратиться к /bin/sh и выполнить shell-конструкцию по своему желанию. Для этого ему необходимо отправить к URI "/.%0d./.%0d./.%0d./.%0d./bin/sh", POST-запрос, содержащий команды.

Проблема затрагивает все версии Nostromo, в том числе новую версию 1.9.6, а также сайт самих разработчиков www.nazgul.ch. На запрос "Server: nostromo" поисковик Shodan выдает порядка 2 тыс. подключенных к интернету серверов Nostromo.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle