الرئيسية / أخبار تقنية / الثغرة الأمنية المكتشفة في خادم ويب GoAhead قد تؤثر على مجموعة واسعة من أجهزة إنترنت الأشياء

الثغرة الأمنية المكتشفة في خادم ويب GoAhead قد تؤثر على مجموعة واسعة من أجهزة إنترنت الأشياء

‫كشف باحثو الأمن السيبراني اليوم عن تفاصيل عن ثغرتين جديدتين في برنامج خادم الويب GoAhead وهو تطبيق صغير مدمج على نطاق واسع في مئات الملايين من الأجهزة الذكية المتصلة بالإنترنت.‬

واحدة من اثنين من نقاط الضعف المعينة باسم CVE-2019-5096 هو عيب في تنفيذ التعليمات البرمجية الحرجة التي يمكن استغلالها من قبل المهاجمين لتنفيذ التعليمات البرمجية الضارة على الأجهزة الضعيفة والسيطرة عليها.‬

تكمن مشكلة عدم الحصانة الأولى في الطريقة التي تتم بها معالجة طلبات البيانات متعددة الأجزاء / النموذج داخل تطبيق خادم الويب GoAhead الأساسي مما يؤثر على إصدارات GoAhead Web Server v5.0.1 و v.4.1.1 و v3.6.5.‬

ووفقًا للباحثين في Cisco Talos أثناء معالجة طلب HTTP تم إنشاؤه خصيصًا ، يمكن للمهاجم الذي يستغل مشكلة عدم الحصانة أن يسبب حالة الاستخدام بعد الاستخدام على الخادم وهياكل الكومة الفاسدة مما يؤدي إلى هجمات تنفيذ التعليمات البرمجية.‬

كما توجد الثغرة الثانية المعينة كـ CVE-2019-5097 في نفس المكون من GoAhead Web Server ويمكن استغلالها بالطريقة نفسها ولكن تؤدي هذه الثغرة إلى هجمات رفض الخدمة.‬

ويقول الباحثون “يمكن أن يؤدي طلب HTTP الذي تم إنشاؤه خصيصًا إلى حلقة لا نهائية في العملية (ينتج عنها استخدام وحدة المعالجة المركزية بنسبة 100 في المائة) يمكن أن يكون الطلب غير مصادق عليه في شكل طلبات GET أو POST ولا يتطلب وجود المورد المطلوب على الخادم ، “.‬

ومع ذلك ليس من الضروري استغلال كلا الثغرات الأمنية في جميع الأجهزة المدمجة التي تعمل على تشغيل الإصدارات الضعيفة من خادم الويب GoAhead.‬

‫وأوضح الباحثون “أن GoAhead هو إطار عمل قابل للتطبيق على الويب تقوم الشركات بتنفيذ التطبيق وفقًا لبيئتها ومتطلباتها نظرًا لأن العيوب “قد لا يمكن الوصول إليها على جميع البنيات”.‬

“بالإضافة إلى ذلك لا تسمح الصفحات التي تتطلب المصادقة بالوصول إلى مشكلة عدم الحصانة دون المصادقة حيث تتم معالجة المصادقة قبل الوصول إلى معالج التحميل”‬

أخيرًا أبلغ باحثو Talos عن وجود ثغرات أمنية لـ EmbedThis مطور تطبيق GoAhead Web Server في أواخر أغسطس من هذا العام وتناول البائع المشكلات وأصدر تصحيحات أمان قبل أسبوعين.‬

عن فدوى

شاهد أيضاً

تويتر تستعرض أهم الأحداث التي تفاعل معها المستخدمين خلال عام 2019

هذا الأسبوع نشر الشبكة الاجتماعية تويتر أحدث قوائمه للأحداث الرئيسية والمشاهير والفرق الرياضية وأكثر من …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *