Kritische Sicherheitslücke in GoAhead-Web-Server gefährdet Millionen IoT-Geräte

Der Web-Server GoAhead auf Embedded-Basis kommt in vielen IoT-Geräten zum Einsatz. Zwei jüngst entdeckte Sicherheitslücken ermöglichen DoS- und sogar Schadcode-Attacken. Somit sind potenziell Millionen IoT-Geräte gefährdet.

Der Großteil davon wird das verfügbare Sicherheitsupdate aber aller Wahrscheinlichkeit nach niemals zu sehen bekommen. Das liegt daran, dass sich viele IoT-Geräte gar nicht aktualisieren lassen oder Hersteller sich nicht in der Pflicht sehen, Sicherheitsupdates zu veröffentlichen. Die Softwareentwickler von EmbedThis sollen seit August 2019 Bescheid wissen. Der Patch wurde im November veröffentlicht.

Remote Code Execution und DoS-Attacken

Einem Bericht der Entdecker der Lücke von Cisco Talos zufolge gilt der Bedrohungsgrad einer Schwachstelle (CVE-2019-5096) als "kritisch". Für eine erfolgreiche Attacke müssten Angreifer lediglich eine präparierte HTTP-Anfrage an verwundbare Geräte schicken. Das soll zu einem Speicherfehler (use-after-free) führen und Angreifern erlauben, Schadcode auszuführen. Das klappt den Sicherheitsforschern zufolge aus der Ferne und ohne Authentifizierung. Läuft Malware auf einem Gerät, können Angreifer oft die volle Kontrolle erlangen und es gilt als vollständig kompromittiert.

Für die zweite Schwachstelle gilt das Angriffsrisiko als "mittel". Hier soll eine HTTP-Anfrage einen DoS-Zustand herbeiführen können. Weitere Details dazu findet man in einem Beitrag von Cisco Talos.

Beide Lücken konnten die Sicherheitsforscher eigenen Angaben zufolge mit den GoAhead-Versionen 3.6.5, 4.1.1 und 5.0.1 ausnutzen. Da man den Web-Server aber umfangreich konfigurieren kann, könnte die Software unter gewissen Voraussetzungen nicht angreifbar sein, erläutern die Sicherheitsforscher. Die ab sofort zum Download stehende Ausgabe 5.1.0 soll abgesichert sein. (des)