Vulnerabilidad en GoAhead pone en peligro cientos de miles de dispositivos

Investigadores de la empresa australiana Elttam detectaron  una vulnerabilidad en el popular servidor web GoAhead, que permite la ejecución remota de código arbitrario en un dispositivo de red. La empresa Embedthis Software, desarrolladora de GoAhead, ya lanzó un parche para cerrar la vulnerabilidad. Ahora les toca a los fabricantes de los equipos que tienen instalado este servidor empezar a difundirlo.

Según las entradas del blog de Elttam, la vulnerabilidad CVE-2017-17562 está presente en todas las versiones de GoAhead anteriores a la 3.6.5  (la hemos visto desde la versión 2.5.0, porque no tenemos muestras de las versiones anteriores para analizarlas).

Esta vulnerabilidad está relacionada con el trabajo de la función cgiHandler, que inicializa un nuevo proceso del programa CGI utilizando los parámetros de la petición HTTP. Al final resultó que sólo se filtraban REMOTE_HOST y HTTP_AUTHORIZATION, mientras que los demás parámetros se trataban como si fueran de confianza. Esto permite que una petición de HTTP especialmente diseñada introduzca variables que pueden cambiar el comportamiento predeterminado del redactor dinámico de vínculos de glibc y con esto hacer que se carguen arbitrariamente los objetos compartidos especificada en la solicitud.

Los investigadores enfatizan que la vulnerabilidad detectada supone una amenaza de ejecución remota de código arbitrario solo si el dispositivo tiene activado el soporte de CGI (Common Gateway Interface – Interfaz de entrada común) con la posibilidad de conexión dinámica de ejecutables (scripts CGI). Elttam también publicó el código PoC en GitHub, para que los investigadores pudiesen averiguar si los dispositivos tienen vulnerabilidades.

Tras recibir una notificación sobre la nueva brecha, Embedthis no tardó en publicar un parche en la nueva versión de GoAhead, 3.6.5. El envío de las actualizaciones correspondientes para varios routers, impresoras y otros dispositivos de red que utilizan el servidor integrado depende del proveedor, y es un proceso que puede tomar meses o tal vez años. Algunos dispositivos no recibirán ninguna actualización de firmware, ya que su plazo de soporte técnico ya se acabó.

En el sitio Web de GoAhead se afirma que fabricantes como Avaya, Comcast, Oracle, D- Link, HP, Siemens, Honeywell, Canon y Motorola utilizan este servidor en sus productos. La búsqueda en Shodan demostró que en Internet hay cerca de 500 000 unidades con GoAhead, aunque el número puede variar debido a las diferencias en las actividades que los dispositivos desarrollan en Internet.

Vale decir que este no es el primer error detectado en GoAhead. Por ejemplo, en marzo  se descubrió una serie de vulnerabilidades en cámaras chinas de vigilancia que usan este diminuto servidor web. La práctica demuestra que los creadores de malware para el Internet de las cosas no tardan en abusar de tales errores y deficiencias, abriendo la posibilidad de infecciones masivas.

Fuente: Threatpost