News

Vulnerabilidad en GoAhead pone en peligro cientos de miles de dispositivos

Investigadores de la empresa australiana Elttam detectaron  una vulnerabilidad en el popular servidor web GoAhead, que permite la ejecución remota de código arbitrario en un dispositivo de red. La empresa Embedthis Software, desarrolladora de GoAhead, ya lanzó un parche para cerrar la vulnerabilidad. Ahora les toca a los fabricantes de los equipos que tienen instalado este servidor empezar a difundirlo.

Según las entradas del blog de Elttam, la vulnerabilidad CVE-2017-17562 está presente en todas las versiones de GoAhead anteriores a la 3.6.5  (la hemos visto desde la versión 2.5.0, porque no tenemos muestras de las versiones anteriores para analizarlas).

Esta vulnerabilidad está relacionada con el trabajo de la función cgiHandler, que inicializa un nuevo proceso del programa CGI utilizando los parámetros de la petición HTTP. Al final resultó que sólo se filtraban REMOTE_HOST y HTTP_AUTHORIZATION, mientras que los demás parámetros se trataban como si fueran de confianza. Esto permite que una petición de HTTP especialmente diseñada introduzca variables que pueden cambiar el comportamiento predeterminado del redactor dinámico de vínculos de glibc y con esto hacer que se carguen arbitrariamente los objetos compartidos especificada en la solicitud.

Los investigadores enfatizan que la vulnerabilidad detectada supone una amenaza de ejecución remota de código arbitrario solo si el dispositivo tiene activado el soporte de CGI (Common Gateway Interface – Interfaz de entrada común) con la posibilidad de conexión dinámica de ejecutables (scripts CGI). Elttam también publicó el código PoC en GitHub, para que los investigadores pudiesen averiguar si los dispositivos tienen vulnerabilidades.

Tras recibir una notificación sobre la nueva brecha, Embedthis no tardó en publicar un parche en la nueva versión de GoAhead, 3.6.5. El envío de las actualizaciones correspondientes para varios routers, impresoras y otros dispositivos de red que utilizan el servidor integrado depende del proveedor, y es un proceso que puede tomar meses o tal vez años. Algunos dispositivos no recibirán ninguna actualización de firmware, ya que su plazo de soporte técnico ya se acabó.

En el sitio Web de GoAhead se afirma que fabricantes como Avaya, Comcast, Oracle, D- Link, HP, Siemens, Honeywell, Canon y Motorola utilizan este servidor en sus productos. La búsqueda en Shodan demostró que en Internet hay cerca de 500 000 unidades con GoAhead, aunque el número puede variar debido a las diferencias en las actividades que los dispositivos desarrollan en Internet.

Vale decir que este no es el primer error detectado en GoAhead. Por ejemplo, en marzo  se descubrió una serie de vulnerabilidades en cámaras chinas de vigilancia que usan este diminuto servidor web. La práctica demuestra que los creadores de malware para el Internet de las cosas no tardan en abusar de tales errores y deficiencias, abriendo la posibilidad de infecciones masivas.

Fuente: Threatpost

Vulnerabilidad en GoAhead pone en peligro cientos de miles de dispositivos

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada