Kali ini ditemukan sebuah kerentanan dalam GoAhead dan mempengaruhi server web yang telah tertanam dalam ratusan ribu perangkat IoT. GoAhead, sebuah paket server web mungil yang dibuat oleh Embedthis Software LLC, sebuah perusahaan yang berbasis di Seattle, AS.
Di homepage GoAhead, produk ini mengklaim produknya saat ini digunakan di dalam produk yang dirilis oleh nama industri besar seperti Comcast, Oracle, D-Link, ZTE, HP, Siemens, Canon, dan banyak lainnya.
Web server mungil ini cukup populer dengan vendor perangkat keras karena dapat berjalan di perangkat dengan sumber daya terbatas, seperti perangkat Internet of Things (IoT), router, printer, dan peralatan jaringan lainnya.
Server GoAhead rentan terhadap remote code execution
Minggu ini, periset keamanan dari perusahaan Australia Elttam menemukan cara mengeksekusi kode berbahaya secara remote pada perangkat yang menggunakan paket server web GoAhead.
Rincian teknis dari kerentanan ini, yang dilacak sebagai CVE-2017-17562, dijelaskan dalam write-up teknis di: https://www.elttam.com.au/blog/goahead/
Penyerang dapat memanfaatkan kerentanan ini jika CGI diaktifkan dan program CGI terhubung secara dinamis, yang merupakan pilihan konfigurasi yang umum.
Antara 500rb sampai 700rb perangkat mungkin terpengaruh
Elttam melaporkan kerentanan itu pada Embedthis, dan merilis sebuah patch. Semua versi GoAhead sebelum GoAhead 3.6.5 dianggap rentan, walaupun para periset hanya memverifikasi kerentanan pada versi GoAhead 2.5.0 kebawah saja.
Embedthis telah melakukan bagiannya. Sekarang, yang tersisa adalah untuk semua vendor perangkat keras agar memasukkan patch GoAhead ke dalam pembaruan firmware untuk semua perangkat yang terpengaruh.
Proses seperti ini bisa memakan waktu berbulan-bulan dan bertahun-tahun, sementara beberapa perangkat tidak akan menerima pembaruan karena mereka telah melewati tanggal akhir hidup mereka.
Pencarian dasar menggunakan Shodan menghasilkan hasil yang bervariasi dari 500.000 sampai 700.000, bergantung pada perangkat yang tersedia secara online pada satu titik atau lainnya.
Elttam telah merilis kode proof-of-concept yang bisa digunakan oleh peneliti lain untuk menguji dan melihat apakah perangkat rentan terhadap kerentanan CVE-2017-17562.
Kerentanan ini bisa menimbulkan masalah besar
Ini bukan kerentanan pertama yang ditemukan di GoAhead. Pada bulan Maret, peneliti keamanan Pierre Kim dan Istvan Toth secara independen menemukan kerentanan GoAhead yang berbeda, sementara Cybereason juga menemukan kelemahan GoAhead lainnya pada tahun 2014.
Malware IoT seperti Mirai, Hajime, BrickerBot, Persirai, dan lainnya, terlihat memanfaatkan kerentanan GoAhead dalam satu tahun terakhir. Sayangnya, kejadian di masa lalu memberi tahu kami bahwa pembuat malware IoT akan mulai mengeksplor bug ini dan mulai memanfaatkannya dalam serangan, jika belum melakukannya. Dengan perangkat besar yang tersedia secara online, ini hampir menjadi kepastian.
