Na lukę CVE-2017-17562 podatne są wszystkie wersje serweraGoAhead od przynajmniej 2.5.0 do 3.6.5. Chińska wyszukiwarka ZoomEyepokazuje, że w Internecie może być nawet kilka milionów urządzeń,które można zaatakować za pomocą exploitu, umożliwiającegozdalne wykonanie kodu. Jako że mamy do czynienia ze sprzętem bezzaawansowanych mechanizmów zarządzania uprawnieniami, będzie tozwykle uruchomienie z uprawnieniami administracyjnymi.
Podatność tkwi wfunkcji cgiHandler, która przyjmuje bez zastrzeżeń praktyczniewszystkie przesłane do niej parametry, co pozwala napastnikowiprzejąć kontrolę nad środowiskiem uruchomieniowym nowego procesuCGI. W efekcie możliwe się np. załadowanie własnej biblioteki dopliku uruchomieniowego webserwera, wykorzystując mechanizmpreloadingu (LD_PRELOAD) dynamicznego linkera.
Taką właśnie uzłośliwioną bibliotekę ładuje przygotowanyprzez australijskich badaczy exploit, udostępniony na architekturyARM, MIPS i x86/x86-64. Znajdziemy go na GitHubie,Cóż, teraz pozostaje jedynie zapoznać się z dokumentacjąGoAhead, gdzie na stronie poświęconej bezpieczeństwu możemyprzeczytać,ze zabezpieczenie aplikacji dostępnych przez Internet nie jesttrywialnym zadaniem.
Będąc pewni, że nie jest, czekamy na botnety z Internetu Rzeczyo rzędy wielkości większe od dotychczas spotykanych.