Eine Sicherheitslücke CVE-2017-17562 im GoAhead-Webserver bedroht die Sicherheit von Hundertausenden von IoT-Geräten. Hier einige Informationen.
GoAhead: Eine Mini-Webserver für Geräte
Bei GoAhead handelt es sich um ein Programmpaket, welches einen kompakten Webserver bereitstellt. Dieser wird gerne auf IoT-Geräten eingesetzt. Entwickelt wurde es von Embedthis Software LLC, Seattle, USA (wurden inzwischen von Oracle aufgekauft). Auf der Homepage des Embedded-Webserver erfährt man mehr. Dort wird auch ausgeführt, dass GoAhead auf hunderten von Millionen IoT-Geräten läuft. Die Kundenliste liest sich wie das Who is Who der Branche. Auerswald, HP, D-Link, Siemens, Konica, Oracle, IBM, Kodak, Nortel Networks, ZTE, DeTeWe etc. sind dabei.
Sicherheitslücke CVE-2017-17562 …
Kurz vor Weihnachten entdeckten Sicherheitsforscher des australischen Unternehmens Elttam eine Möglichkeit, bösartigen Code auf Geräten mit Hilfe des GoAhead-Webserverpakets aus der Ferne auszuführen.
Die technischen Details dieser Remote Code Execution-Sicherheitslücke CVE-2017-17562 sind in dieser technischen Beschreibung erläutert. Angreifer können diese Sicherheitslücke ausnutzen, sofern CGI aktiviert ist und ein CGI-Programm dynamisch verknüpft wird. Genau dies scheint aber eine weit verbreitete Konfigurationsoption zu sein.
… bedroht 500.000 bis 700.000 IoT-Geräte
Die Sicherheitsforscher den Fehler im GoAhead-Webserver nur bis zur Version 2.5.0 zurück verifiziert. Aber alle GoAhead-Versionen vor GoAhead 3.6.5 gelten als anfällig. Elttam hat den Fehler an Embedthis gemeldet, und die Firma hat einen Patch für den Webserver bereitgestellt.
Jetzt liegt der Ball im Feld der Hersteller, die für das Firmware-Update der betreffenden IoT-Geräte verantwortlich sind. Und da liegt der Hase im Pfeffer. Es wird Monate und Jahre dauern, bis die Hersteller updaten. Einige Geräte dürften kein Update erhalten, weil deren End-of-Life-Datum überschritten ist oder die Hersteller schlicht nicht reagieren.
Eine Suche mit Shodan wirft mir aktuell 250.000 Geräte aus. Über die Feiertage sind aber viele Geräte abgeschaltet. Bleeping Computer gibt die Zahl von 500.000 bis 700.000 an. Elttam hat ein Proof-of-concept Code-Beispiel in Pyton freigegeben, mit dem Sicherheitsforscher Geräte auf die Anfälligkeit für CVE-2017-17562 testen können. Weitere Details finden sich bei Bleeping Computer.
A basic Shodan search yields results that vary from 500,000 to 700,000, depending on the devices available online at one point or another.
Elttam has released proof-of-concept code that other researchers can use to test and see if devices are vulnerable to the CVE-2017-17562 vulnerability.
Flaw expected to cause big problems, again
This vulnerability in a tiny software component is expected to cause big issues going forward.
This isn’t the first vulnerability found in GoAhead. In March, security researchers Pierre Kim and Istvan Tothindependently found different GoAhead flaws, while Cybereason also found other GoAhead flaws way back in 2014.
IoT malware like Mirai, Hajime, BrickerBot, Persirai, and others, were seen exploiting GoAhead flaws in the past year. Unfortunately, past events tell us that IoT malware authors will jump on this bug and start exploiting it in attacks, if they haven’t already. With such a large pool of devices available online, this is almost a certainty.
„Welcome to our security nightmare of convenience without proper configuration,“ cyber-security expert Cheryl Biswas commented on the bug earlier this week.
Ja und ist doch nichts neues wahrscheinlich fehlen den meisten Firmen auch noch geeignete Techniker die sich mit GoAhead überhaupt auskennen und das Problem mit einem Patch beseitigen könnten.
Also in der Hinsicht lebe ich wahrscheinlich Privat fast schon Vorsintflutlich ich besitze kein einziges IoT-Gerät in meinem Haushalt kein Vernetztes Gerät mit Sprachsteuerung oder selbst mein TV Gerät besitzt nicht mal einen Weg ins Netzwerk, aber dafür Funktioniert es wenn es soll und ist dabei auch noch sicher.
Noch, wird nicht mehr lange dauern und ohne Internet geht die Hälfte nicht mehr.
Dann braucht es eine Firewall mit deep paket inspection um den Datenfluss auf das Notwendige zu reduzieren plus Fachleute die das ganze konfigurieren können.
Brave new world