開源Web伺服器GoAhead遠程代碼執行漏洞影響數十萬物聯網設備

近日，據外媒報道稱，來自網路安全公司Elttam的研究人員在GoAhead Web 伺服器中發現了一個安全漏洞，將對數十萬的物聯網設備造成嚴重影響，因為利用該漏洞可以在受損設備上遠程執行惡意代碼。

據悉，GoAhead Web Server是為嵌入式實時操作系統（RTOS）量身定製的開源Web伺服器，目前，許多國際一線廠商， 包括IBM、HP、Oracle、波音、D-link、摩托羅拉等，都在其產品中使用了GoAhead，其使用GoAhead的設備包括智能手機、寬頻接入路由器、數字電視機頂盒等。這也就意味著，該漏洞將對數十萬物聯網設備的安全造成嚴重隱患。

GoAhead伺服器易受遠程代碼執行漏洞影響

本周，來自澳大利亞Elttam公司的安全研究人員發現了一種利用GoAhead Web伺服器軟體包在設備上遠程執行惡意代碼的方法，該漏洞被標記為CVE-2017-17562，屬於「高危」級別。

安全研究人員發現，如果啟用了CGI並且動態鏈接了CGI程序的話，GoAhead中的安全漏洞就能夠允許攻擊者遠程執行任意代碼。根據Elttam發布的漏洞分析報告指出，

漏洞的起因是cgi.c文件中的cgiHandler函數使用了不可信任的HTTP請求參數，初始化已fork的CGI腳本的環境。結合glibc動態鏈接器，攻擊者就可以使用特殊的環境變數（如LD_PRELOAD），進而獲得遠程命令執行的許可權。

大約50萬-70萬設備將受到影響

目前，Elttam已經告知了Embedthis這一漏洞信息，GoAhead官方也已經發布了新版本3.6.5，對漏洞進行了補丁修復。據悉，GoAhead 3.6.5之前的所有版本（從2.5.0至3.6.4版本）都將受到此次漏洞的影響。

Embedthis已經完成了補丁的發放，現在剩下的任務就是所有硬體供應商需要將GoAhead補丁集成到所有受影響設備的固件更新之中。這個過程預計需要花費幾個月或幾年的時間，而有些設備可能已經無法接收到任何更新程序，因為它們已經超出了服務時間，屬於過時、報廢產品，但是這些產品仍在一些企業或家庭中使用著。

基於Shodan搜索獲得的數據顯示，受影響的設備數量在50萬至70萬之間不等。此外，Elttam也已經發布了概念驗證（Poc）代碼，其他的研究人員也可以使用該代碼來檢測和查看自身設備是否容易受到CVE-2017-17562漏洞的攻擊。

漏洞預計會造成更大的影響

這一微小軟體組件中存在的漏洞預計將會引發重大的安全隱患。其實，這已經不是在GoAhead中發現的第一個安全漏洞了。早在今年3月，安全研究人員Pierre Kim 和Istvan Toth就分別發現了不同的GoAhead漏洞，而Cybereason也在2014年發現了其他的GoAhead漏洞。

在過去一年裡，像Mirai、Hajime、BrickerBot以及Persirai等物聯網惡意軟體一直被認為是利用了GoAhead漏洞。不幸的是，過去的事件告訴我們，如果物聯網惡意軟體開發者還沒有利用該漏洞的話，那麼在不久的將來，他們也將利用該漏洞實施網路攻擊。隨著物聯網設備的進一步普及利用，這一趨勢可謂是確定無疑的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！