Image default
Vulnerabilidades

Vulnerabilidade no webserver GoAhead afeta milhares de dispositivos IoT

O GoAhead é um dos servidores web embarcados mais utilizados do mundo, principalmente em dispositivos IoT e outros, incluindo impressoras, telefones IP, dispositivos de rede e muito mais. Dentre as empresas que embarcam em seus produtos este webserver, podemos citar os mais famosos, como a Avaya, Siemens, Canon, IBM, D-Link, Kodak e HP.

Maiores informações sobre a vulnerabilidades podem ser encontradas no CVE-2017-17562.

Com base neste relatório, a vulnerabilidade ocorre quando o ambiente de scripts CGI é inicializado por meio de parâmetros de solicitação HTTP não confiáveis, afetando dispositivos onde o suporte aos scripts CGI está habilitado. Este comportamento, quando combinado com a biblioteca glibc, pode ser utilizada para executar código remoto utilizando variáveis especiais, como a LD_PRELOAD.

A vulnerabilidade permite ao invasor remoto enviar uma solicitação HTTP CGI maliciosa, que pode ser o payload via POST durante a solicitação, levando a execução de código arbitrário no servidor.

Uma pesquisa no Shodan revela um grande número de dispositivos (mais de 500.000) rodando o webserver GoAhead. Então, alguns deles podem estar vulneráveis.

Um patch foi lançado em relação à vulnerabilidade e todos os usuários foram avisados ​​para atualizar para o GoAhead 3.6.5 caso os scripts CGI vinculados dinamicamente estiverem sendo usados ​​em máquinas Linux.

A empresa de cyber security Elttam disponibilizou uma POC que pode ser utilizada para verificar se a sua versão do GoAhead está vulnerável. Os scripts de teste podem ser encontrados aqui.

Com uma grande quantidade de dispositivos afetados por esta vulnerabilidade, temos aí um grande problema, já que muitos dispositivos agora estão propensos a ataques mal-intencionados.

Fonte:

https://gbhackers.com/goahead-servers-vulnerability/

Posts similares

Linux: Falha no PHP Weathermap permite a mineração de criptomoedas

O Analista

NetSpectre: vulnerabilidade Spectre agora pode ser explorada remotamente

O Analista

Mais de 80 produtos da Cisco são afetados pelo bug de DoS FragmentSmack

O Analista
O Analista_