Estamos a punto de cerrar un año donde hemos visto importantes vulnerabilidades que han afectado a muchos equipos. Hoy nos llega una nueva vulnerabilidad que pone en riesgo cientos de miles de dispositivos del conocido como Internet de las Cosas. Afecta a un servidor donde se integran estos dispositivos. Dicha vulnerabilidad afecta a GoAhead, un pequeño paquete de servidor web creado por Embedthis Software LLC. Se trata de una compañía con sede en Seattle, Estados Unidos.
Dispositivos del Internet de las Cosas afectados
En la página principal de GoAhead, Embedthis afirma que su producto se implementa actualmente en dispositivos lanzados por grandes nombres de la industria como Comcast, Oracle, D-Link, ZTE, HP, Siemens, Canon y muchos otros.
Este pequeño servidor web es bastante popular entre los proveedores de hardware. Se puede ejecutar en dispositivos con recursos limitados, como dispositivos del Internet de las Cosas (IoT), routers, impresoras y otros equipos de red.
Esta semana, investigadores de seguridad de la empresa australiana Elttam descubrieron una forma de ejecutar código malicioso de manera remota en dispositivos que utilizan el paquete del servidor web GoAhead.
Los atacantes pueden explotar este defecto si CGI está habilitado y un programa CGI está vinculado dinámicamente, que es una opción de configuración bastante común.
Parche
Elttam informó el error a Embedthis, y el servidor lanzó un parche. Se presume que todas las versiones de GoAhead anteriores a GoAhead 3.6.5 son vulnerables. Eso sí, los investigadores solo verificaron el error en las versiones de GoAhead que datan de la versión 2.5.0.
Embedthis ha hecho su parte. Ahora, lo que queda es que todos los proveedores de hardware incorporen el parche GoAhead en una actualización de firmware para todos los dispositivos afectados.
Se espera que dicho proceso tarde meses o incluso años, mientras que algunos dispositivos no recibirán ninguna actualización porque ya pasaron su fecha de finalización de la vida útil.
Según una búsqueda básica de Shodan arroja resultados que varían de 500.000 a 700.000, dependiendo de los dispositivos disponibles en línea en un momento u otro.
Elttam ha lanzado un código de prueba de concepto que otros investigadores pueden usar para probar y ver si los dispositivos son susceptibles a la vulnerabilidad CVE-2017-17562.
Se espera que esta vulnerabilidad en un pequeño componente de software cause grandes problemas en el futuro.
Vulnerabilidades anteriores
No obstante, esta no es la primera vulnerabilidad encontrada en GoAhead. En marzo, los investigadores de seguridad Pierre Kim e Istvan Toth encontraron de forma independiente diferentes defectos de GoAhead, mientras que Cybereason también encontró otros defectos en 2014.
Los malware para el Internet de las Cosas como Mirai, Hajime, BrickerBot, Persirai y otros, fueron vistos explotando fallos de seguridad de GoAhead en el último año. Desafortunadamente, los eventos pasados nos dicen que los autores de malware de IoT saltarán sobre este error y comenzarán a explotarlo en ataques, si es que aún no lo han hecho. Con un conjunto tan grande de dispositivos disponibles en línea, esto es casi una certeza.