УКРАИНА

Hi-tech

Уязвимость позволяет удаленно взламывать IoT-устройства

уязвимость

Исследователь безопасности Дэниэл Ходсон обнаружил уязвимость в программном обеспечении web-сервера GoAhead, встроенного в ряд устройств из сферы «Интернета вещей» (IoT)

GoAhead используется такими компаниями, как IBM, HP, Oracle, Boeing, D-Link и Motorola, сообщает «SecurityLabRu».

По данным поисковика Shodan, на сегодняшний день сервер используется в 735 тыс. устройств.

Уязвимость CVE-2017-17562 позволяет удаленному злоумышленнику внедрить вредоносный код в затронутые устройства, после чего взять их под контроль и шпионить за владельцем гаджета. Проблема затрагивает версии GoAhead 3.6.4 и более ранние.

Уязвимое программное обеспечение присутствует в ряде интернет-маршрутизаторов под управлением ОС Linux, домашних камерах слежения и многих других устройствах с возможностью подключения к интернету.

Проблема заключается в процессе обработки GoAhead запросов браузеров к CGI-программам, генерирующим динамические web-страницы. Злоумышленник может задать произвольные переменные окружения для процесса в программе с помощью специально сформированного HTTP-запроса. Хакер может включить в запрос вредоносный код, взломать программу и взять уязвимое устройство под контроль.

Уязвимость является результатом инициализации окружения дочерних CGI-сценариев с использованием недоверенных параметров в HTTP запросе. Проблема затрагивает системы, на которых включена в CGI поддержка динамической компоновки исполняемых файлов (CGI-сценариев). Подобное поведение совместно с динамическим компоновщиком glibc можно использовать для переопределения переменных (например, LD_PRELOAD) и удаленного выполнения произвольного кода.

По словам разработчика GoAhead компании EmbedThis, уязвимость затрагивает только устройства и серверы, содержащие исполняемые файлы на основе CGI и количество таких устройств невелико.

«Большинство клиентов GoAhead не используют CGI, поскольку GoAhead имеет лучшие и более быстрые альтернативы», - заявили в компании.

Исследователь уведомил компанию о проблеме и уязвимость была исправлена в версии GoAhead 3.6.5. Ходсон опубликовал код PoC-эксплоита на портале Github.

CGI (Common Gateway Interface) - стандарт интерфейса, используемого для связи внешней программы с web-сервером.

Фото: «SecurityLabRu»

Теги:GoAhead, IoT, уязвимость

Версия для печати
Загрузка...
Loading...
..

Партнеры портала

Price.ua - сервис сравнения цен в Украине
властьвласть деньги деньги стиль жизнистиль жизни hi-tech hi-tech спорт спорт мир мир общество общество здоровье здоровье звезды звезды
Архив Экспорт О проекте/Контакт Информатор

Нажмите «Нравится»,
чтобы читать «Комментарии» в Facebook!

Спасибо, я уже с вами.

   © «КомментарииУА:», 2016

Система Orphus