开源Web服务器GoAhead远程代码执行漏洞 影响数十万物联网设备

导语：近日，据外媒报道称，来自网络安全公司Elttam的研究人员在GoAhead Web 服务器中发现了一个安全漏洞，将对数十万的物联网设备造成严重影响，因为利用该漏洞可以在受损设备上远程执行恶意代码。

近日，据外媒报道称，来自网络安全公司Elttam的研究人员在GoAhead Web 服务器中发现了一个安全漏洞，将对数十万的物联网设备造成严重影响，因为利用该漏洞可以在受损设备上远程执行恶意代码。

据悉，GoAhead Web Server是为嵌入式实时操作系统（RTOS）量身定制的开源Web服务器，目前，许多国际一线厂商， 包括IBM、HP、Oracle、波音、D-link、摩托罗拉等，都在其产品中使用了GoAhead，其使用GoAhead的设备包括智能手机、宽带接入路由器、数字电视机顶盒等。这也就意味着，该漏洞将对数十万物联网设备的安全造成严重隐患。

GoAhead服务器易受远程代码执行漏洞影响

本周，来自澳大利亚Elttam公司的安全研究人员发现了一种利用GoAhead Web服务器软件包在设备上远程执行恶意代码的方法，该漏洞被标记为CVE-2017-17562，属于“高危”级别。

安全研究人员发现，如果启用了CGI并且动态链接了CGI程序的话，GoAhead中的安全漏洞就能够允许攻击者远程执行任意代码。根据Elttam发布的漏洞分析报告指出，

漏洞的起因是cgi.c文件中的cgiHandler函数使用了不可信任的HTTP请求参数，初始化已fork的CGI脚本的环境。结合glibc动态链接器，攻击者就可以使用特殊的环境变量（如LD_PRELOAD），进而获得远程命令执行的权限。

大约50万-70万设备将受到影响

目前，Elttam已经告知了Embedthis这一漏洞信息，GoAhead官方也已经发布了新版本3.6.5，对漏洞进行了补丁修复。据悉，GoAhead 3.6.5之前的所有版本（从2.5.0至3.6.4版本）都将受到此次漏洞的影响。

Embedthis已经完成了补丁的发放，现在剩下的任务就是所有硬件供应商需要将GoAhead补丁集成到所有受影响设备的固件更新之中。这个过程预计需要花费几个月或几年的时间，而有些设备可能已经无法接收到任何更新程序，因为它们已经超出了服务时间，属于过时、报废产品，但是这些产品仍在一些企业或家庭中使用着。

基于Shodan搜索获得的数据显示，受影响的设备数量在50万至70万之间不等。此外，Elttam也已经发布了概念验证（Poc）代码，其他的研究人员也可以使用该代码来检测和查看自身设备是否容易受到CVE-2017-17562漏洞的攻击。

漏洞预计会造成更大的影响

这一微小软件组件中存在的漏洞预计将会引发重大的安全隐患。其实，这已经不是在GoAhead中发现的第一个安全漏洞了。早在今年3月，安全研究人员Pierre Kim 和Istvan Toth就分别发现了不同的GoAhead漏洞，而Cybereason也在2014年发现了其他的GoAhead漏洞。

在过去一年里，像Mirai、Hajime、BrickerBot以及Persirai等物联网恶意软件一直被认为是利用了GoAhead漏洞。不幸的是，过去的事件告诉我们，如果物联网恶意软件开发者还没有利用该漏洞的话，那么在不久的将来，他们也将利用该漏洞实施网络攻击。随着物联网设备的进一步普及利用，这一趋势可谓是确定无疑的。