Tak umiera Internet Rzeczy? Miliony urządzeń lepiej odłączyć od Internetu
Właściwie możemy ogłosić koniec Internetu Rzeczy. MilionyRzeczy należy jak najszybciej od Internetu bowiem odłączyć, wprzeciwnym razie staną się jedynie końcówkami botnetu, przejętymiza pomocą banalnie prostego exploita. Badacze z australijskiej firmyElttam pokazali właśnie, jak łatwo jest zdalnie uruchomić kod nawebserwerze GoAhead, używanym w setkach milionów urządzeńwbudowanych produkowanych przez dziesiątki firm. Wśród nich sądrukarki, routery, switche, centralki telefoniczne, bramki Wi-Fi,kamerki, czujniki meteorologiczne, a nawet sprzęt wojskowy.Myślicie, że ktoś to teraz wszystko załata?
Na lukę CVE-2017-17562 podatne są wszystkie wersje serweraGoAhead od przynajmniej 2.5.0 do 3.6.5. Chińska wyszukiwarka ZoomEyepokazuje, że w Internecie może być nawet kilka milionów urządzeń,które można zaatakować za pomocą exploitu, umożliwiającegozdalne wykonanie kodu. Jako że mamy do czynienia ze sprzętem bezzaawansowanych mechanizmów zarządzania uprawnieniami, będzie tozwykle uruchomienie z uprawnieniami administracyjnymi.
Podatność tkwi wfunkcji cgiHandler, która przyjmuje bez zastrzeżeń praktyczniewszystkie przesłane do niej parametry, co pozwala napastnikowiprzejąć kontrolę nad środowiskiem uruchomieniowym nowego procesuCGI. W efekcie możliwe się np. załadowanie własnej biblioteki dopliku uruchomieniowego webserwera, wykorzystując mechanizmpreloadingu (LD_PRELOAD) dynamicznego linkera.
Taką właśnie uzłośliwioną bibliotekę ładuje przygotowanyprzez australijskich badaczy exploit, udostępniony na architekturyARM, MIPS i x86/x86-64. Znajdziemy go na GitHubie,Cóż, teraz pozostaje jedynie zapoznać się z dokumentacjąGoAhead, gdzie na stronie poświęconej bezpieczeństwu możemyprzeczytać,ze zabezpieczenie aplikacji dostępnych przez Internet nie jesttrywialnym zadaniem.
Będąc pewni, że nie jest, czekamy na botnety z Internetu Rzeczyo rzędy wielkości większe od dotychczas spotykanych.
