Dispositivos IoT podrían haberse visto afectados por un fallo crítico en el servidor web GoAhead
El pasado 4 de diciembre se descubrieron dos vulnerabilidades en el software GoAhead, un servidor web compacto y eficiente pensado para ser embebido en dispositivos IoT.
Una de las vulnerabilidades, catalogada como CVE-2019-5096, es un problema crítico de ejecución de código que puede ser explotada para ejecutar código malicioso en dispositivos vulnerables y tomar el control de los mismos. Esta vulnerabilidad se produce por la forma en que se procesan determinadas solicitudes dentro de la aplicación principal del servidor web GoAhead, afectando a las versiones v5.0.1, v.4.1.1 y v3.6.5.
Los investigadores de Cisco Talos han descubierto que ciertas solicitudes HTTP, podrían provocar una corrupción de memoria basado en pila y efectuar con éxito un ataque de ejecución de código.
La segunda vulnerabilidad, catalogada como CVE-2019-5097, puede explotarse de forma similar y reside en el mismo componente de GoAhead. No obstante, esta permite lanzar ataques de denegación de servicio al inducir un bucle infinito mediante el procesado de peticiones GET o POST que hagan referencia a recursos inexistentes en el servidor, acaparando el 100% del uso de la CPU.
Dado que GoAhead permite una configuración personalizada para adaptarse a distintos entornos y requisitos IoT, las vulnerabilidades mencionadas podrían no ser accesibles en todas las compilaciones. Por ejemplo, aquellas que requieran de autentificación podrían haber implementado algún tipo de comprobación previa al controlador de carga que las protegiese de estas vulnerabilidades entre otros riesgos.
Dado que los investigadores de Talos informaron a finales de agosto al desarrollador de la aplicación, y este lanzó los parches de seguridad pertinentes hace un par de semanas, es posible evitar las vulnerabilidades comentadas actualizando los dispositivos.
Más información:
Embedthis GoAhead
https://www.embedthis.com/goahead/doc/
Critical Flaw in GoAhead Web Server Could Affect Wide Range of IoT Devices
https://thehackernews.com/2019/12/goahead-web-server-hacking.html
Powered by WPeMatico