Investigadores de ciberseguridad descubrieron hoy detalles de dos nuevas vulnerabilidades en el software del servidor web GoAhead, una pequeña aplicación ampliamente integrada en cientos de millones de dispositivos inteligentes conectados a Internet.
Una de las dos vulnerabilidades, asignada como CVE-2019-5096, es una falla crítica de ejecución de código que los atacantes pueden aprovechar para ejecutar código malicioso en dispositivos vulnerables y controlarlos.
La primera vulnerabilidad reside en la forma en que se procesan las solicitudes de datos de formularios/varias partes dentro de la aplicación base del servidor web GoAhead, lo que afecta a las versiones v5.0.1, v.4.1.1 y v3.6.5 del servidor web GoAhead.
Según los investigadores de Cisco Talos, mientras se procesa una solicitud HTTP especialmente diseñada, un atacante que explote la vulnerabilidad puede causar una condición de uso después de liberarse en el servidor y estructuras de montón corruptas, lo que lleva a ataques de ejecución de código.
La segunda vulnerabilidad, asignada como CVE-2019-5097, también reside en el mismo componente del servidor web GoAhead y puede explotarse de la misma manera, pero conduce a ataques de denegación de servicio.
«Una solicitud HTTP especialmente diseñada puede conducir a un bucle infinito en el proceso (lo que resulta en una utilización del 100 por ciento de la CPU). La solicitud puede no estar autenticada en forma de solicitudes GET o POST y no requiere que el recurso solicitado exista en el servidor, «dicen los investigadores.
Sin embargo, no es necesario que ambas vulnerabilidades puedan explotarse en todos los dispositivos integrados que ejecutan las versiones vulnerables del servidor web GoAhead.
Esto se debe a que, según los investigadores, dado que GoAhead es un marco de aplicación web personalizable, las empresas implementan la aplicación de acuerdo con su entorno y requisitos, por lo que las fallas «pueden no estar disponibles en todas las compilaciones».
«Además, las páginas que requieren autenticación no permiten el acceso a la vulnerabilidad sin autenticación, ya que la autenticación se maneja antes de llegar al controlador de carga», explican los investigadores.
Los investigadores de Talos informaron las dos vulnerabilidades a EmbedThis, el desarrollador de la aplicación GoAhead Web Server, a fines de agosto de este año, y el proveedor abordó los problemas y lanzó parches de seguridad hace dos semanas.