[INFO] Une vulnérabilité permet la prise de contrôle à distance des serveurs web GoAhead

[INFO] Une vulnérabilité permet la prise de contrôle à distance des serveurs web GoAhead

Come chaque semaine, le CERT-XMCO partage une information ayant fait l’actualité de la semaine écoulée. Cette semaine, nous vous proposons de revenir sur la découverte d’une vulnérabilité critique affectant le serveur HTTP embarqué GoAhead.


Description :

Une vulnérabilité a été découverte au sein du serveur web GoAhead. Elle permet à un attaquant d’exécuter du code arbitraire à distance et ainsi prendre le contrôle du serveur sous-jacent.

GoAhead est un serveur web léger, principalement utilisé au sein de l’informatique embarquée. D’après le moteur de recherche Shodan, près de 737 000 instances seraient exposées sur Internet.

La vulnérabilité impacte les systèmes antérieurs à la version 3.6.5. Référencée CVE-2017-17562, elle se situe au niveau de l’implémentation de l’interface CGI (Common Gateway Interface), utilisée par les serveurs web pour générer les réponses HTTP. En effet, le composant vulnérable possède une fonctionnalité permettant de récupérer des variables d’environnement à distance. Un attaquant est ainsi en mesure de contrôler à distance les variables d’environnement appliquées au processus CGI. Plus particulièrement, la variable d’environnement « LD_PRELOAD » permet de spécifier une bibliothèque dynamique à charger avant l’exécution du programme. Il est donc possible d’ordonner au processus CGI d’exécuter le code contenu dans un fichier sur le serveur.

Pour exécuter une charge utile spécifique, un attaquant peut envoyer une requête POST avec le contenu d’une bibliothèque dynamique malveillante : le serveur a pour habitude de créer un fichier temporaire avec le contenu de la requête. Il est alors possible, avec un ordre et un délai d’exécution précis, d’utiliser la faille décrite plus haut pour exécuter ce fichier temporaire malveillant.

De cette manière, un attaquant est en mesure de prendre le contrôle du serveur web à distance. Un code d’exploitation a également été publié.

Enfin, les chercheurs à l’origine de la publication précisent que la vulnérabilité relève d’un défaut de conception, et qu’elle pourrait être également présente à d’autres endroits dans le code.


Vulnérable :

  • GoAhead web server < 3.6.5

Recommandation :

Le CERT-XMCO recommande l’installation de la version 3.6.5 du serveur GoAhead disponible via l’adresse suivante :

https://embedthis.com/goahead/download.html


Références :

https://www.elttam.com.au/blog/goahead/

Référence CERT-XMCO :


Antoine Dumouchel