一. 漏洞概述 今日,GoAhead Web Server 被爆出在 3.6.5 之前的所有版本中存在一个远程代 码执行漏洞(CVE-2017-17562)。该漏洞源于使用不受信任的 HTTP 请求参数初始 化分叉 CGI 脚本环境,并且会影响所有启用了动态链接可执行文件(CGI 脚本)支 持的用户。当与 glibc 动态链接器结合使用时,使用特殊变量(如 LD_PRELOAD) 就可以实施远程代码执行。2017 年 12 月 18 日针对该漏洞利用的 PoC 公开,请受影 响的用户及时更新版本进行修复。 m o c . 5 详情请参考如下链接: https://www.elttam.com.au/blog/goahead/ 二. 影响范围 受影响的版本 不受影响的版本 b u h t i g GoAhead Web Server < 3.6.5 GoAhead Web Server 3.6.5 GoAhead Web Server 4.0.0 三. 漏洞检测 3.1 手工检测 受影响版本检测 该漏洞影响 linux 服务器上开启了动态链接可执行文件的用户,同时请检查当前 GoAhe ad Web Server 版本是否在受影响范围内,如果当前版本低于 3.6.5,则存在风险。 版本检测可使用如下命令: ./goahead --version 漏洞验证 POC 检测 目前安全研究人员已经提供了 goahead 远程代码执行漏洞的 POC,参考链接如下: https://github.com/elttam/advisories/tree/master/CVE-2017-17562 您可通过此测试脚本,对自有资产进行验证,并及时对此漏洞进行防护,防护方案请参考第 四章节防护方案部分。 检测效果如下图所示: m o c . 5 b u 3.2 在线检测 h t i g 由于 goahead 漏洞影响范围较大,绿盟科技提供在线检测接口,您可以通过自助检测的方式, 判断自有资产是否受到影响。 四. 防护方案 4.1 官方补丁 GoAhead 官方已经发布新版本修复了该漏洞,受影响的用户请尽快升级到最新版 本进行防护,以 3.6.5 版本为例,下载链接如下: https://github.com/embedthis/goahead/archive/v3.6.5.zip 首先将网站进行备份,到上述链接下载修复了漏洞的程序包,解压后进入程序目 录,目录结构如下: m o c . 5 b u h t i g 在当前目录下依次执行以下命令,对新版本 goahead 应用进行编译安装: ./configure make #执行编译 sudo make install #编译完成后安装 将备份好的网站部署到网站目录下,如路径:/var/www/goahead。进入 /build/linux-x64-default/bin 目录下,使用如下命令启动新版本 GoAhead Web Server 即可: ./goahead -v --home /etc/goahead /var/www/goahead 0.0.0.0:8888 如果启动过程中出现如下错误, 在 goahead 执行文件目录中找到 self.key 和 self.crt 文件拷贝到/etc/goahead 下即可解决。 goahead: 0: mbedtls: Unable to read key file self.key goahead: 0: Cannot initialize server. Exiting. 其中“/etc/goahead”为配置目录,“/var/www/goahead”为网站所在目录, “0.0.0.0:8888”为绑定 IP 和监听端口,请根据具体的环境进行配置。 4.2 产品防护 用户可使用绿盟入侵防御系统 NIPS、Web 应用防火墙 WAF 或下一代防火墙 NF 对网 络中的漏洞攻击报文进行阻断,规则编号如下: 产品 规则 ID IPS 24163 WAF 自定义规则 NF 24163 入侵防御系统 NIPS 配置方法 m o c . 5 b u 1. 目前最新的规则升级包正在发布流程中,请及时关注官网的最新动态,并及时 下载最新的规则库文件: http://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.10 h t i g 2. 在系统升级中点击离线升级,选择系统规则库,选择对应的文件,点击上传。 3. 更新成功后,在系统默认规则库中查找规则编号:24163,即可查询到“GoAhea d httpd LD_PRELOAD 远程代码执行漏洞”。 Web 应用防火墙 WAF 配置方法 • m o c . 5 自定义规则 为及时形成对 goahead 远程代码执行漏洞的防护能力,减少因此漏洞导致的损失,部 署有绿盟科技 WAF 的用户可通过自定义规则的方式用来及时防护该漏洞,自定义规则如下: (method * belong POST)&&(uri_path * rco /cgi-bin/)&&(parameter_name * rco b u ^(LD_|IFS$|CDPATH$|PATH$|REMOTE_HOST$|HTTP_AUTHORIZATION$)) 请参考如下步骤对临时规则进行部署: h t i g 1. 新建自定义规则,依次点击“安全管理”-“规则库管理”-“自定义”-“新建” 2. 将自定义规则命名为“GoAhead RCE”。 3. m o c . 5 依次按照如下截图进行设置: 检测对象:Method 匹配操作:属于 检测值:POST b u h t i g 检测对象:URI-path 匹配操作:正则包含 检测值:/cgi-bin/ 检测对象:Parameter-name m o c . 5 b u 匹配操作:正则包含 检测值: h t i g ^(LD_|IFS$|CDPATH$|PATH$|REMOTE_HOST$|HTTP_AUTHORIZATION$) 配置完成后可以看到如下约束条件: 4. m o c . 5 b u 新建自定义策略,依次点击“安全管理”-“策略管理”-“自定义策略”-“新建”。 h t i g 设置策略名称为“GoAhead RCE 策略”,勾选刚刚新建的“GoAhead RCE”规则后 点击确定。 5. b u m o c . 5 h t i g 在站点添加自定义策略,依次点击“安全管理”-“站点防护”-“根据需要选择需 要防护的站点”-“Web 安全防护”。 在自定义策略中勾选刚刚创建的“GoAhead RCE 策略”后,点击确定即可启用自定义 的规则进行防护。 m o c . 5 防护效果如下,可以看到,对于此 POC 的攻击已经进行了有效的阻断: b u h t i g 下一代防火墙 NF 配置方法 NF 已经形成了对 goahead 远程代码执行漏洞的防护能力,部署有 NF 的用户可下载防 护规则库文件,规则编号为:24163,升级后即可防护此漏洞带来的攻击: http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.1 2. 在 NF 的规则升级界面进行升级: 3. 手动选择规则包,点击提交即可完成更新。 m o c . 5 五. 关于 GoAhead Web Server GoAhead 是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的嵌 入式 Web Server。GoAhead Web Server 是为嵌入式实时操作系统(RTOS)量身定制的 b u Web 服务器。支持的操作系统包括 eCos 、LINUX 、LynxOS 、QNX 、VxWorks 、WinCE、 pSOS 等,由于他结构紧凑,使用安全简单,被部署在数以亿计的设备中,如 IBM,HP, h t i g Oracle,波音,D-link 和摩托罗拉等公司的产品中,是最小的嵌入式设备的理想选择。 六. 声 明 本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何 保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的 后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。 绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须 保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意 修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。 七. 关于绿盟科技 北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于 2000 年 4 月,总部位于北京。在国内外设有 30 多个分支机构,为政府、运营商、金融、能源、 互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮 助客户实现业务的安全顺畅运行。 基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合 规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以 及 Web 安全防护等产品以及专业安全服务。 北京神州绿盟信息安全科技股份有限公司于 2014 年 1 月 29 日起在深圳证券交 m o c . 5 易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。 b u h t i g 绿盟科技官方微博二维码 绿盟科技官方微信二维码
绿盟 【处置手册】GoAhead httpd2.5 to 3.5 LD _ PRELOAD远程代码执行漏洞
文档预览
中文文档
12 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共12页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-07-17 01:20:21上传分享