WEB服务器GoAhead曝安全漏洞 数十万台物联网设备受影响

GoAhead是由位于美国西雅图的Embedthis Software LLC公司开发的嵌入式WEB服务器，它因简单、轻巧、功能强大，并可以在多个平台运行而深受硬件厂商的欢迎。

根据Embedthis的说法，它可以运行在打印机、路由器、交换机、IP电话、移动应用、数据采集、军事应用、WIFI网关以及其他资源有限的联网设备上。

在GoAhead的产品主页上，Embedthis声称GoAhead目前已经被部署在许多大型企业发布的产品中，如康卡斯特（Comcast）、甲骨文（Oracle）、友讯（D-Link）、中兴（ZTE）、惠普（HP）、西门子（Siemens）、佳能（Canon ）、IBM、摩托罗拉（Motorola）等等。

在上周，自澳大利亚Elttam公司的安全研究人员发现了GoAhead存在一个安全漏洞（CVE-2017-17562），允许攻击者在运行GoAhead的联网设备上远程执行任意代码。

该漏洞是使用不受信任的HTTP请求参数初始化分叉CGI脚本环境的结果，并且会影响所有启用了CGI，并且CGI程序是动态链接的用户。

Elttam表示，漏洞影响了GoAhead 3.6.5之前的版本（不包括GoAhead 3.6.5）。另外，Elttam测试的对象仅限于GoAhead 2.5.0到GoAhead3.6.5，因为他们并没有找到比2.5.0更老的版本。

此外，Elttam还利用shodan搜索引擎对受影响的设备进行了扫描。扫描结果显示，目前在整个互联网中至少有超过73.7万台此类设备正在被使用。

在Elttam联系Embedthis之后，该公司已经在发布的新版本中修复了该漏洞。