Уязвимость в реализации CGI позволяет осуществить атаку «человек посередине»
ИБ-исследователь VendHQ Доминик Ширлинк (Dominic Scheirlinck) обнаружил опасную уязвимость, основанную на ошибке 15-летней давности. Уязвимость влияет на большое число дистрибутивов Linux и языков программирования и позволяет осуществить атаку «человек посередине» на web-серверы. Уязвимость, получившая название Httpoxy, затрагивает web-приложения на стороне сервера, использующие CGI-интерфейс (Common Gateway Interface) или CGI-окружение, например, FastCGI для PHP, Python и Go.
Ширлинк описывает Httpoxy, как набор уязвимостей, возникнувших из-за простого конфликта имен, связанных с HTTP заголовками, которые небезопасно полагаются на переменную «HTTP_PROXY» при генерации предаваемых запросов. Данная проблема позволяет злоумышленнику удаленно изменить значение переменной HTTP_PROXY на web-сервере с помощью специально сформированного HTTP-запроса.
Атакующий может удаленно проэксплуатировать уязвимость, осуществить атаку «человек посередине» и перенаправить трафик на произвольный хост. Злоумышленник также может перехватить и расшифровать трафик, или осуществить DoS-атаку, принуждая уязвимое ПО использовать вредоносный прокси-сервер.
Httpoxy включает целый ряд уязвимостей, влияющих на платформы и языки, включая PHP (CVE-2016-5385), Go (CVE-2016-5386), Apache HTTP Server (CVE-2016-5387), Apache Tomcat (CVE-2016-5388), HHVM (CVE-2016-1000109) и Python (CVE-2016-1000110).
По словам Ширлинка, Httpoxy связана с уязвимостью в сценарии Perl, обнаруженной экспертом Рэндалом Шварцом (Randal L Schwartz) в 2001. Щварц исправил уязвимость, однако подобные ошибки повторялись множество раз.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш