-->

Bahaya! Critical Flow di Web Server GoAhead Dapat Mempengaruhi Berbagai Perangkat IoT

http://www.autodika.com/

Autodika.com - Peneliti Cybersecurity hari ini mengungkap detail dua kerentanan baru dalam perangkat lunak server web GoAhead, sebuah aplikasi kecil yang tertanam dalam ratusan juta perangkat pintar yang terhubung ke internet.

Salah satu dari dua kerentanan, ditetapkan sebagai CVE-2019-5096, adalah cacat eksekusi kode kritis yang dapat dieksploitasi oleh penyerang untuk mengeksekusi kode berbahaya pada perangkat yang rentan dan mengambil kendali atas mereka.

Kerentanan pertama berada dalam cara permintaan multi-bagian / formulir-data diproses dalam aplikasi server web GoAhead, yang memengaruhi GoAhead Web Server versi v5.0.1, v.4.1.1, dan v3.6.5.

Menurut para peneliti di Cisco Talos, saat memproses permintaan HTTP yang dibuat khusus, seorang penyerang yang mengeksploitasi kerentanan dapat menyebabkan kondisi penggunaan-setelah-bebas pada server dan struktur tumpukan korup, yang mengarah ke serangan eksekusi kode.

Kerentanan kedua, ditetapkan sebagai CVE-2019-5097, juga berada di komponen yang sama dengan GoAhead Web Server dan dapat dieksploitasi dengan cara yang sama, tetapi yang ini mengarah pada serangan penolakan layanan.

"Permintaan HTTP yang dibuat khusus dapat menyebabkan loop tak terbatas dalam proses (menghasilkan utilisasi CPU 100 persen). Permintaan dapat diautentikasi dalam bentuk GET atau permintaan POST dan tidak memerlukan sumber daya yang diminta untuk ada di server, "kata para peneliti.

Namun, tidak perlu kedua kerentanan tersebut dapat dieksploitasi di semua perangkat tertanam yang menjalankan versi server web GoAhead yang rentan.

Itu karena, menurut para peneliti, karena GoAhead adalah kerangka kerja aplikasi web yang dapat disesuaikan, perusahaan mengimplementasikan aplikasi sesuai dengan lingkungan dan persyaratan mereka, yang karenanya kekurangan "mungkin tidak dapat dicapai pada semua bangunan."

"Selain itu, halaman yang memerlukan otentikasi tidak memungkinkan akses ke kerentanan tanpa autentikasi karena autentikasi ditangani sebelum mencapai penangan unggahan," para peneliti menjelaskan.

Peneliti Talos melaporkan dua kerentanan terhadap EmbedThis, pengembang aplikasi GoAhead Web Server, pada akhir Agustus tahun ini, dan vendor mengatasi masalah tersebut dan merilis patch keamanan dua minggu lalu.

0 Response to "Bahaya! Critical Flow di Web Server GoAhead Dapat Mempengaruhi Berbagai Perangkat IoT"

Post a Comment

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel