lunes, 25 de diciembre de 2017

Vulnerabilidad en GoAhead afecta a miles de dispositivos IoT

Se trata de una vulnerabilidad en un pequeño servidor web que se encuentra incluido en cientos de dispositivos IoT. Afecta a GoAhead, un paquete creado por Embedthis Software.


Numero de dispositivos IoT utilizando el servidor GoAhead.

Este servidor es muy popular en la industria ya que requiere de muy pocos recursos para ejecutarse, por lo que es un punto muy atractivo para aquellos dispositivos con recursos limitados como routers, impresoras y otros equipos IoT con conectividad. 

Según el sitio oficial de GoAhead, este producto se encuentra desplegado en distintos productos de marcas muy conocidas: Comcast, D-Link, ZTE, Oracle, Canon, Siemens... Por lo que puede encontrarse en una amplia gama de dispositivos. 

Esta semana investigadores de la firma australiana Elttam, descubrieron una manera de ejecutar código remoto malicioso en aquellos dispositivos que hicieran uso del paquete web de GoAhead. No es la primera vez, en marzo investigadores independientes descubrieron otro fallo de seguridad en dicho paquete; mientras que Cyberreason encontró otra vulnerabilidad en 2014.

La vulnerabilidad tiene asignado el código CVE-2017-17562. Elttam, ha publicado los detalles técnicos en esta entrada. Los atacantes pueden explotar este fallo de seguridad si CGI se encuentra habilitado y un programa está dinámicamente enlazado con CGI lo cual es una opción de configuración común.
También se puede encontrar una prueba de concepto que otros investigadores pueden utilizar para comprobar si los dispositivos a examinar son vulnerables a dicha vulnerabilidad. 

Tras reportar el fallo de seguridad a EmbedThis, se publicó un parche para solventar la vulnerabilidad. Todas las versiones de GoAhead anteriores a 3.6.5 son aparentemente vulnerables, aunque los investigadores únicamente verificaron la vulnerabilidad hasta las versiones 2.5.0.

Se estima que se han podido infectar entre 500.000 y 700.000 dispositivos IoT. Un par de búsquedas básicas en Shodan revelan estas cantidades, aunque varían segun el numero de dispositivos online en el momento. 

Embedthis ha cumplido con su papel en esta vulnerabilidad, ahora es el momento de que los usuarios actualicen sus dispositivos a las versiones más recientes. Sin embargo, este proceso puede llevar meses, o incluso años ya que algunos dispositivos han acabado su ciclo de vida y no tienen soporte para futuras actualizaciones. 



Fernando Díaz
fdiaz@hispasec.com

Más información: