内嵌在几十万台物联网设备中的GoAhead网络服务器中存在一个漏洞CVE-2017-17562。GoAhead是由位于美国西雅图的Embedthis Software LC公司创建的一个小型网络服务器包。Embedthis 在GoAhead主页中表示产品目前部署在多款业内著名厂家产品中,如Comcast、甲骨文、D-Link、惠普、西门子、佳能等。这个微小的 web服务器在硬件供应商中非常受欢迎,因为它能运行在资源有限的设备上,如物联网设备、路由器、打印机等。
GoAhead服务器易受远程代码执行攻击
本周,澳大利亚公司 Ettam 的研究人员找到一种方法,可通过GoAhead网络服务器包在设备上远程执行恶意代码。该漏洞的技术细节已发布。如果启用CGI而且CGI程序遭动态链接(很常见的配置选项),那么攻击者就可以利用这个权限。
受影响设备数量介于50万至70万
Elttam将缺陷问题告知Embedthis公司,后者随后发布补丁。GoAhead 3.6.5之前的版本应该均受影响,虽然研究人员仅在版本2.5.0及更高版本中验证了该问题的存在。Embedthis发布补丁后,所有硬件供应商应该在所有受影响设备中集成补丁,但这种进程可能会持续数月至数年的时间,而且有些设备因为生命周期已结束,因此不会收到任何更新。
Shodan搜索结果显示,根据各个时点的网络设备情况,受影响设备为50万到70万台之间。Elttam已发布 PoC 代码供其他研究人员查看是否有其它受影响设备。
物联网隐患引发的恶意攻击
这个存在于微小软件组件中的漏洞可能会引发更大的问题。这并非研究人员从 GoAhead 中发现的首个漏洞。3月份,研究员 Pierre Kim 和Istvan Toth都曾独立发现了GoAhead中的多个问题,而Cybereason公司也在2014年从该产品中发现多个缺陷。
物联网恶意软件如Mirai、Hajime、BrickerBot、Persirai等都曾在去年利用GoAhead缺陷。历史表明物联网恶意软件作者往往会抓住这个问题并开始用于攻击中,但愿他们还没开始这么做吧。网上存在如此多的设备,这种场景几乎是肯定会发生的。
网络安全专家 Cheryl Biswas 在本周就曾就这个问题发表评论称,“为了使用方便但却存在安全漏洞,真是一场安全的噩梦!”
安全客评
越来越多的犯罪分子通过劫持物联网设备来达到最终的目的,我们不难看到两种威胁趋势:针对成群小型目标进行自动攻击,以及瞄准大型目标进行的针对性攻击。这两种趋势的混合程度越来越高,第一阶段使用自动攻击,第二阶段采用针对性攻击。
我们正处于围绕物联网的“完美风暴”中:预计联网设备将在2020年增长到200亿以上的数量级,这是一个巨大的M2M(机器对机器)攻击面;这些设备使用高度脆弱的代码,由不同的供应商提供,几乎没有任何安全战略。当然,这些设备大部分是无脑设备,意味着我们不能添加安全客户端或有效更新其软件或固件。
现在,攻击者可以运用很多手段成功利用已知证书,比如默认用户名和密码,或者硬编码后门。此外,物联网设备中还有一些几乎“唾手可得”的漏洞,包括编码错误、后门和其他垃圾代码(通常用于启用物联网连接和通信)引起的缺陷。考虑到破坏和收益的潜在可能,我们预测瞄准物联网设备的攻击将变得更复杂,更多经过设计的可利用物联网通信和数据收集链中的漏洞将涌现出来。
一种可能的发展是影子网络或物联网僵尸网络的崛起,这些网络不能用传统工具进行探测或测量。影子网络攻击开始时采用针对性分布式拒绝服务(DDoS)攻击与勒索需求相结合的方式。随后可能采取收集数据、针对性攻击、混淆其他攻击等方式。
围绕物联网设备的安全话题越来越沉重,已经到了政府部门无法忽视的程度。我们持有这种观点:除非物联网设备制造商采取紧急行动,否则他们将不仅遭受经济损失,还会因为其产品中的安全漏洞而成为法律诉讼的对象。
文章原文链接:https://www.anquanke.com/post/id/92483