Una falla crítica en el servidor web GoAhead podría afectar una amplia gama de dispositivos IoT



Investigadores de seguridad de Cisco Talos descubrieron hoy detalles de dos nuevas vulnerabilidades en el software web GoAhead, una pequeña aplicación ampliamente integrada en cientos de millones de dispositivos inteligentes conectados a Internet.

GoAhead Web Server es un popular servidor web integrado diseñado para ser un marco de aplicaciones web y un servidor totalmente personalizables para dispositivos integrados. Proporciona toda la funcionalidad básica del servidor HTTP y proporciona una plataforma altamente personalizable para desarrolladores de aplicaciones web integradas.

Una de las dos vulnerabilidades, asignada como CVE-2019-5096, permite a un atacante la ejecución de código arbitrario en las máquinas afectadas, logrando con esto, tomar control total de las víctimas.

La primera vulnerabilidad reside en la forma en que se procesan las solicitudes multiparte / datos de formulario dentro de la aplicación base del servidor web GoAhead, que afecta a las versiones del servidor web GoAhead v5.0.1, v.4.1.1 y v3.6.5.

Según los investigadores de Cisco Talos, mientras procesa una solicitud HTTP especialmente diseñada, un atacante que explota la vulnerabilidad, puede causar una condición libre de uso en el servidor lo que lleva a ataques de ejecución de código.

La segunda vulnerabilidad, asignada como CVE-2019-5097, también reside en el mismo componente del servidor web GoAhead y puede explotarse de la misma manera, pero esta conduce a ataques de denegación de servicio.
EmbedThis 'GoAhead Web Server contiene dos vulnerabilidades que surgen cuando el software intenta procesar una solicitud HTTP de múltiples partes / datos de formulario. Un atacante podría explotar estas vulnerabilidades para ejecutar código de forma remota en la máquina víctima, o causar una condición de denegación de servicio. Se lee en el sitio de los investigadores.-
"Una solicitud HTTP especialmente diseñada puede conducir a un bucle infinito en el proceso (resultando en una utilización del 100 por ciento de la CPU). La solicitud no se puede autenticar en forma de solicitudes GET o POST y no requiere que el recurso solicitado exista en el servidor, " dicen los investigadores.

Sin embargo, no es necesario que ambas vulnerabilidades puedan explotarse en todos los dispositivos integrados que ejecutan las versiones vulnerables del servidor web GoAhead.
Esto se debe a que, según los investigadores, dado que GoAhead es un marco de aplicación web personalizable, las empresas implementan la aplicación de acuerdo con su entorno y requisitos, por lo que los defectos "pueden no ser accesibles en todas las compilaciones".

Los investigadores de Talos informaron las dos vulnerabilidades a EmbedThis, el desarrollador de la aplicación GoAhead Web Server, a fines de agosto de este año, y el proveedor abordó los problemas y lanzó parches de seguridad hace dos semanas.

https://blog.talosintelligence.com/2019/12/vulnerability-spotlight-EmbedThis-GoAhead.html