Właściwie możemy ogłosić koniec Internetu Rzeczy. Miliony Rzeczy należy jak najszybciej od Internetu bowiem odłączyć, w przeciwnym razie staną się jedynie końcówkami botnetu, przejętymi za pomocą banalnie prostego exploita. Badacze z australijskiej firmy Elttam pokazali właśnie, jak łatwo jest zdalnie uruchomić kod na webserwerze GoAhead, używanym w setkach milionów urządzeń wbudowanych produkowanych przez dziesiątki firm. Wśród nich są drukarki, routery, switche, centralki telefoniczne, bramki Wi-Fi, kamerki, czujniki meteorologiczne, a nawet sprzęt wojskowy. Myślicie, że ktoś to teraz wszystko załata?
Na lukę CVE-2017-17562 podatne są wszystkie wersje serwera GoAhead od przynajmniej 2.5.0 do 3.6.5. Chińska wyszukiwarka ZoomEye pokazuje, że w Internecie może być nawet kilka milionów urządzeń, które można zaatakować za pomocą exploitu, umożliwiającego zdalne wykonanie kodu. Jako że mamy do czynienia ze sprzętem bez zaawansowanych mechanizmów zarządzania uprawnieniami, będzie to zwykle uruchomienie z uprawnieniami administracyjnymi.
Podatność tkwi w funkcji cgiHandler, która przyjmuje bez zastrzeżeń praktycznie wszystkie przesłane do niej parametry, co pozwala napastnikowi przejąć kontrolę nad środowiskiem uruchomieniowym nowego procesu CGI. W efekcie możliwe się np. załadowanie własnej biblioteki do pliku uruchomieniowego webserwera, wykorzystując mechanizm preloadingu (LD_PRELOAD) dynamicznego linkera.
Taką właśnie uzłośliwioną bibliotekę ładuje przygotowany przez australijskich badaczy exploit, udostępniony na architektury ARM, MIPS i x86/x86-64. Znajdziemy go na GitHubie, Cóż, teraz pozostaje jedynie zapoznać się z dokumentacją GoAhead, gdzie na stronie poświęconej bezpieczeństwu możemy przeczytać, ze zabezpieczenie aplikacji dostępnych przez Internet nie jest trywialnym zadaniem.
Będąc pewni, że nie jest, czekamy na botnety z Internetu Rzeczy o rzędy wielkości większe od dotychczas spotykanych.
Źródło: www.dobreprogramy.pl
