如何对goead RCE进行预警分析,相信很多没有经验的人都不知所措。因此,本文总结了出现问题的原因和解决方法,希望大家可以通过本文来解决这个问题。
0x00 背景介绍
12月12日,MITRE披露了GoAhead的一个漏洞,编号为CVE-2017-17562。如果启用CGI动态链接,受影响的GoAhead将面临远程代码执行的危险。GoAhead广泛应用于嵌入式设备中。经过评估,360CERT确认此漏洞风险较高,建议用户尽快修复。
0x01 技术细节
找到漏洞位置:cgi.c:cgiHandler(),其中envp分配了一个数组,并用HTTP请求参数中的键值对填充它。在这个过程中,只过滤REMOTE_HOST和HTTP _ AUTHORIZATION,这样攻击者就可以使用其他cgi进程的任何环境变量。
envp填充完成后,将通过launchCgi调用,启动Cgi进程。
0x02 漏洞验证
如上所述,由于过滤不完善,恶意envp被传入launchCgi执行,所以我们需要知道cgiPath(我们的有效载荷路径)。这个问题并不严重。Linux procfs文件系统可以使用LD_PRELOAD=/proc/self/fd/0来引用stdin,stdin会指向我们写的临时文件。应HTTP请求加入?LD_PRELOAD=/proc/self/fd/0即可。
0x03 影响范围
根据360CERT的QUAKE全网资产检索系统的评估,全网有数百万台设备在运行GoAhead服务。考虑到嵌入式设备更新的滞后,受此漏洞影响的设备非常广泛。
0x04 修补建议
360CERT建议GoAhead产品用户查看当前应用版本,如果是易受攻击版本,请尽快更新相关补丁。
看完以上内容,你是否掌握了如何对goead RCE进行预警分析的方法?如果您想学习更多技能或了解更多相关内容,请关注行业资讯频道,感谢您的阅读!
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/153812.html
