Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보GoAhead Embedded HTTP IoT 다바이스 및 공유기 모두 통하는 취약점
작성일 2017-12-29 조회 2939

 

 

 

 

Embedthis회사의 GoAhead는 보급형 임베디드 웹버서로 BM,HP,Oracle,Boeing,D-Link등의 회사에서 사용한다.
쇼단(Shodan)에서 검색되는 서버는 735,000개에 이르는데 해당 제품에서 원격코드실행 취약점(CVE-2017-17562)이 발견돼 주의가 요구된다.

 

 

GoAhead는 오픈소스로서 주로 멀티플랫폼에서 동작하는 임베디드 웹서버다. eCos, LINUXm LyuxOS, QNX, VxWorks, pSOS등 다양한 플랫폼을 지원한다.
Embedthis GoAhead 3.6.5 이전버전을 사용하고 있고, cgi가 활성화 및 cgi 프로세스가 DLL일 경우 원격코드 실행 취약점이 존재하는 것으로 밝혀졌다.

 

 

<그림 1> CVE-2017-17562 POC GitHub 페이지

 

<그림 2> CVE-2017-17562 Python POC

 

이 취약점은 cgi에서 사용하는 cgiHandler 함수 중 신뢰할 수 없는 HTTP Request 매개변수가 분기 cgi 스크립트를 초기화 해서 발생하는 것이다.
glibc dll과 결합했을 때, 특수한 매개변수 이름을 사용할 수 있는데, 이를 이용해 원격코드실행을 할 수 있게 된다.
공격자는 요청한 본문 중 그것이 공유한 유효한 Payload를 POST 하고 /proc/self/fd/0를 이용해 그것을 사용한다.

 

<그림 3> POC를 이용한 공격 트래픽 재현

 

 

 


취약시스템
EmbedThis GoAhead prior to 3.6.5

 

 


해결방안
벤더사에서 제공하는 최신의 버전으로 업데이트 한다.
https://embedthis.com/blog/posts/2017/goahead-security-update.html

 

 

 

Sniper 제품군 대응 방안

Sniper-IPS

[3944] GoAhead httpd LD_PRELOAD RCE

Sniper-UTM

[805374356] GoAhead httpd LD_PRELOAD RCE

Sniper-APTX

[3154] GoAhead httpd LD_PRELOAD RCE

 

 

 

참조
https://www.exploit-db.com/exploits/43360/
https://www.elttam.com.au/blog/goahead/
https://nvd.nist.gov/vuln/detail/CVE-2017-17562
https://github.com/elttam/advisories/tree/master/CVE-2017-17562
https://github.com/embedthis/goahead/issues/249
https://github.com/embedthis/goahead/commit/6f786c123196eb622625a920d54048629a7caa74

첨부파일 첨부파일이 없습니다.
태그   CVE-2017-17562