Исследователи из Cisco Talos обнаружили две новые уязвимости в веб-сервере GoAhead компании EmbedThis. Недостатки позволяют не прошедшему аутентификацию злоумышленнику выполнить на устройстве сторонний код или добиться состояния отказа в обслуживании. Проблема может затронуть широкий спектр сетевого и медицинского оборудования, мобильные телефоны, офисную технику. Разработчики исправили баги, выпустив новый релиз продукта.

RCE-баг в сервере GoAhead

Одна из ошибок имеет критический уровень опасности. Уязвимость, зарегистрированная как CVE-2019-5096, допускает выполнение вредоносного кода через запрос вида GET или POST. Как пояснили исследователи, при обработке HTTP-запроса с несколькими заголовками Content-Disposition может возникнуть состояние use-after-free. Проблема связана с очисткой структур кучи, используемых для хранения различных частей запроса.

Злоумышленнику не требуется авторизация на сервере для эксплуатации уязвимости. Более того, указанный в запросе ресурс может отсутствовать на устройстве. Баг грозит выполнением стороннего кода в рамках системы и получил близкий к максимальному рейтинг опасности — 9,8 балла по шкале CVSS. Возможность успешной атаки зависит от конфигурации сервера — по мнению ИБ-специалистов, ошибка не может привести к запуску стороннего скрипта в некоторых оригинальных сборках продукта.

DoS-уязвимость в продуктах EmbedThis

Вторая уязвимость менее опасна и оценивается экспертами в 5,3 балла CVSS. Так же как и первый баг, она связана с неправильной обработкой многосоставных HTTP-запросов GET и POST. При разрыве соединения, произошедшем до завершения обработки данных из заголовка Content-Length, сервер будет продолжать отправлять ответ на отключенный узел в режиме бесконечного цикла. В результате создаются условия для полной загрузки процессора и отказа в обслуживании.

Эксплуатация уязвимости CVE-2019-5097 во многом зависит от системных ресурсов, доступных на устройстве. Приборы с мощным процессором и большим объемом оперативной памяти менее чувствительны к атаке.

Оба бага затрагивают веб-серверы GoAhead версий 5.0.1, 4.1.1 и 3.6.5. Разработчики получили информацию о выявленных недостатках еще в конце августа этого года, а 21 ноября выпустили обновления для всех уязвимых продуктов. Патчи для устройств, использующих встроенные серверы EmbedThis, должны подготовить их производители.

В 2017 году ИБ-специалисты уже находили RCE-баги в линейке продуктов GoAhead. Баг в обработчике CGI-запросов позволял злоумышленникам дистанционно запустить на устройстве вредоносный скрипт.

Категории: Уязвимости