פגיעות בשרת Nostromo http המובילה לביצוע קוד מרחוק

בשרת http נוסטרומו (nhttpd) מזוהה פגיעות
(CVE-2019-16278), המאפשר לתוקף לבצע מרחוק קוד בשרת על ידי שליחת בקשת HTTP בעלת מבנה מיוחד. הבעיה תתוקן במהדורה 1.9.7 (עדיין לא פורסם). אם לשפוט לפי מידע ממנוע החיפוש Shodan, שרת Nostromo http נמצא בשימוש בכ-2000 מארחים נגישים לציבור.

הפגיעות נגרמת משגיאה בפונקציית http_verify, אשר מחמיצה גישה לתוכן מערכת הקבצים מחוץ לספריית השורש של האתר על ידי העברת הרצף ".%0d./" בנתיב. הפגיעות מתרחשת מכיוון שבדיקה של נוכחותם של תווי "../" מתבצעת לפני ביצוע פונקציית נורמליזציה של נתיב, שבה מוסרים תווי שורה חדשה (%0d) מהמחרוזת.

עבור ניצול פגיעות, אתה יכול לגשת ל-/bin/sh במקום סקריפט CGI ולבצע כל מבנה מעטפת על ידי שליחת בקשת POST ל-URI "/.%0d./.%0d./.%0d./.%0d./bin /sh " והעברת הפקודות בגוף הבקשה. מעניין שב-2011, פגיעות דומה (CVE-2011-0751) כבר תוקנה ב-Nostromo, שאפשרה התקפה על ידי שליחת הבקשה "/..%2f..%2f..%2fbin/sh".

מקור: OpenNet.ru