一. 漏洞概述 今日，GoAhead Web Server 被爆出在 3.6.5 之前的所有版本中存在一个远程代 码执行漏洞（CVE-2017-17562）。该漏洞源于使用不受信任的 HTTP 请求参数初始 化分叉 CGI 脚本环境，并且会影响所有启用了动态链接可执行文件（CGI 脚本）支 持的用户。当与 glibc 动态链接器结合使用时，使用特殊变量（如 LD_PRELOAD） 就可以实施远程代码执行。2017 年 12 月 18 日针对该漏洞利用的 PoC 公开，请受影 响的用户及时更新版本进行修复。 m o c . 5 详情请参考如下链接： https://www.elttam.com.au/blog/goahead/ 二. 影响范围 受影响的版本 不受影响的版本 b u h t i g GoAhead Web Server < 3.6.5 GoAhead Web Server 3.6.5 GoAhead Web Server 4.0.0 三. 漏洞检测 3.1 手工检测 受影响版本检测 该漏洞影响 linux 服务器上开启了动态链接可执行文件的用户，同时请检查当前 GoAhe ad Web Server 版本是否在受影响范围内，如果当前版本低于 3.6.5，则存在风险。 版本检测可使用如下命令： ./goahead --version 漏洞验证 POC 检测 目前安全研究人员已经提供了 goahead 远程代码执行漏洞的 POC，参考链接如下： https://github.com/elttam/advisories/tree/master/CVE-2017-17562 您可通过此测试脚本，对自有资产进行验证，并及时对此漏洞进行防护，防护方案请参考第 四章节防护方案部分。 检测效果如下图所示： m o c . 5 b u 3.2 在线检测 h t i g 由于 goahead 漏洞影响范围较大，绿盟科技提供在线检测接口，您可以通过自助检测的方式， 判断自有资产是否受到影响。 四. 防护方案 4.1 官方补丁 GoAhead 官方已经发布新版本修复了该漏洞，受影响的用户请尽快升级到最新版 本进行防护，以 3.6.5 版本为例，下载链接如下： https://github.com/embedthis/goahead/archive/v3.6.5.zip 首先将网站进行备份，到上述链接下载修复了漏洞的程序包，解压后进入程序目 录，目录结构如下： m o c . 5 b u h t i g 在当前目录下依次执行以下命令，对新版本 goahead 应用进行编译安装： ./configure make #执行编译 sudo make install #编译完成后安装 将备份好的网站部署到网站目录下，如路径：/var/www/goahead。进入 /build/linux-x64-default/bin 目录下，使用如下命令启动新版本 GoAhead Web Server 即可： ./goahead -v --home /etc/goahead /var/www/goahead 0.0.0.0:8888 如果启动过程中出现如下错误， 在 goahead 执行文件目录中找到 self.key 和 self.crt 文件拷贝到/etc/goahead 下即可解决。 goahead: 0: mbedtls: Unable to read key file self.key goahead: 0: Cannot initialize server. Exiting. 其中“/etc/goahead”为配置目录，“/var/www/goahead”为网站所在目录， “0.0.0.0:8888”为绑定 IP 和监听端口，请根据具体的环境进行配置。 4.2 产品防护 用户可使用绿盟入侵防御系统 NIPS、Web 应用防火墙 WAF 或下一代防火墙 NF 对网 络中的漏洞攻击报文进行阻断，规则编号如下： 产品 规则 ID IPS 24163 WAF 自定义规则 NF 24163 入侵防御系统 NIPS 配置方法 m o c . 5 b u 1. 目前最新的规则升级包正在发布流程中，请及时关注官网的最新动态，并及时 下载最新的规则库文件： http://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.10 h t i g 2. 在系统升级中点击离线升级，选择系统规则库，选择对应的文件，点击上传。 3. 更新成功后，在系统默认规则库中查找规则编号：24163，即可查询到“GoAhea d httpd LD_PRELOAD 远程代码执行漏洞”。 Web 应用防火墙 WAF 配置方法 • m o c . 5 自定义规则 为及时形成对 goahead 远程代码执行漏洞的防护能力，减少因此漏洞导致的损失，部 署有绿盟科技 WAF 的用户可通过自定义规则的方式用来及时防护该漏洞，自定义规则如下： (method * belong POST)&&(uri_path * rco /cgi-bin/)&&(parameter_name * rco b u ^(LD_|IFS$|CDPATH$|PATH$|REMOTE_HOST$|HTTP_AUTHORIZATION$)) 请参考如下步骤对临时规则进行部署： h t i g 1. 新建自定义规则，依次点击“安全管理”-“规则库管理”-“自定义”-“新建” 2. 将自定义规则命名为“GoAhead RCE”。 3. m o c . 5 依次按照如下截图进行设置： 检测对象：Method 匹配操作：属于 检测值：POST b u h t i g 检测对象：URI-path 匹配操作：正则包含 检测值：/cgi-bin/ 检测对象：Parameter-name m o c . 5 b u 匹配操作：正则包含 检测值： h t i g ^(LD_|IFS$|CDPATH$|PATH$|REMOTE_HOST$|HTTP_AUTHORIZATION$) 配置完成后可以看到如下约束条件： 4. m o c . 5 b u 新建自定义策略，依次点击“安全管理”-“策略管理”-“自定义策略”-“新建”。 h t i g 设置策略名称为“GoAhead RCE 策略”，勾选刚刚新建的“GoAhead RCE”规则后 点击确定。 5. b u m o c . 5 h t i g 在站点添加自定义策略，依次点击“安全管理”-“站点防护”-“根据需要选择需 要防护的站点”-“Web 安全防护”。 在自定义策略中勾选刚刚创建的“GoAhead RCE 策略”后，点击确定即可启用自定义 的规则进行防护。 m o c . 5 防护效果如下，可以看到，对于此 POC 的攻击已经进行了有效的阻断： b u h t i g 下一代防火墙 NF 配置方法 NF 已经形成了对 goahead 远程代码执行漏洞的防护能力，部署有 NF 的用户可下载防 护规则库文件，规则编号为：24163，升级后即可防护此漏洞带来的攻击： http://update.nsfocus.com/update/listNewNfDetail/v/rule6.0.1 2. 在 NF 的规则升级界面进行升级： 3. 手动选择规则包，点击提交即可完成更新。 m o c . 5 五. 关于 GoAhead Web Server GoAhead 是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的嵌 入式 Web Server。GoAhead Web Server 是为嵌入式实时操作系统（RTOS）量身定制的 b u Web 服务器。支持的操作系统包括 eCos 、LINUX 、LynxOS 、QNX 、VxWorks 、WinCE、 pSOS 等，由于他结构紧凑，使用安全简单，被部署在数以亿计的设备中，如 IBM，HP， h t i g Oracle，波音，D-link 和摩托罗拉等公司的产品中，是最小的嵌入式设备的理想选择。 六. 声 明 本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何 保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的 后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。 绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须 保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意 修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。 七. 关于绿盟科技 北京神州绿盟信息安全科技股份有限公司（简称绿盟科技）成立于 2000 年 4 月，总部位于北京。在国内外设有 30 多个分支机构，为政府、运营商、金融、能源、 互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮 助客户实现业务的安全顺畅运行。 基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合 规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以 及 Web 安全防护等产品以及专业安全服务。 北京神州绿盟信息安全科技股份有限公司于 2014 年 1 月 29 日起在深圳证券交 m o c . 5 易所创业板上市交易，股票简称：绿盟科技，股票代码：300369。 b u h t i g 绿盟科技官方微博二维码 绿盟科技官方微信二维码