Исследователь безопасности под псевдонимом Sudoka
критическую уязвимость в HTTP-сервере Nostromo с открытым исходным кодом.
По словам Sudoka, уязвимость (CVE-2019-16278) существует из-за ошибки в механизме проверки URL-адресов Nostromo, приводящей к обходу каталога. Неавторизованный злоумышленник может воспользоваться ею, заставить сервер указать на shell-файл наподобие /bin/sh и выполнить произвольные команды.
Если говорить точнее, проблема связана с ошибкой в функции http_verify. Данная функция позволяет обращаться к содержимому файловой системы за пределами корневого каталога сайта путем передачи последовательности ".%0d./". Поскольку проверка на наличие символов "../" осуществляется перед выполнением функции нормализации пути, где из строки удаляются символы перевода строки (%0d), злоумышленник способен осуществить атаку.
Атакующий может вместо CGI-скрипта обратиться к /bin/sh и выполнить shell-конструкцию по своему желанию. Для этого ему необходимо отправить к URI "/.%0d./.%0d./.%0d./.%0d./bin/sh", POST-запрос, содержащий команды.
Проблема затрагивает все версии Nostromo, в том числе новую версию 1.9.6, а также сайт самих разработчиков . На запрос "Server: nostromo" поисковик Shodan выдает порядка 2 тыс. подключенных к интернету серверов Nostromo.
По словам Sudoka, уязвимость (CVE-2019-16278) существует из-за ошибки в механизме проверки URL-адресов Nostromo, приводящей к обходу каталога. Неавторизованный злоумышленник может воспользоваться ею, заставить сервер указать на shell-файл наподобие /bin/sh и выполнить произвольные команды.
Если говорить точнее, проблема связана с ошибкой в функции http_verify. Данная функция позволяет обращаться к содержимому файловой системы за пределами корневого каталога сайта путем передачи последовательности ".%0d./". Поскольку проверка на наличие символов "../" осуществляется перед выполнением функции нормализации пути, где из строки удаляются символы перевода строки (%0d), злоумышленник способен осуществить атаку.
Атакующий может вместо CGI-скрипта обратиться к /bin/sh и выполнить shell-конструкцию по своему желанию. Для этого ему необходимо отправить к URI "/.%0d./.%0d./.%0d./.%0d./bin/sh", POST-запрос, содержащий команды.
Проблема затрагивает все версии Nostromo, в том числе новую версию 1.9.6, а также сайт самих разработчиков . На запрос "Server: nostromo" поисковик Shodan выдает порядка 2 тыс. подключенных к интернету серверов Nostromo.
