میلیون ها سرور در معرض حملات اختلال سرویس

به گزارش کارگروه حملات سایبربان، به نقل از «securityaffairs»؛ توسعه دهندگان انجین ایکس (Nginx) به روز رسانی های امنیتی را به منظور رفع آسیب پذیری های اختلال سرویس (DoS) که سرور وب انجین ایکس را تحت تاثیر قرار می داد، منتشر کرده اند.

انجین ایکس، یک سرور «HTTP» و پروکسی معکوس، یک سرور پروکسی ایمیل و یک سرور پروکسی پروتکل کنترل انتقال و بسته داده ی کاربر (TCP/UDP) عمومی است. این سرور در اکتبر سال 2018 توسط 25.28 درصد از سایت های تجاری، مورد استفاده قرار گرفت.

گروه توسعه ی انجین ایکس، نسخه های 1.15.6 و 1.14.1 را برای رفع 2 آسیب پذیری موجود در پیاده سازی «HTTP/2» منتشر کردند. این آسیب پذیری ها می توانند در نسخه های 1.9.5 تا 1.15.5 این سرور، وضعیت اختلال سرویس ایجاد کنند.

2 نقص امنیتی که پیاده سازی «HTTP/2» انجین ایکس را تحت تاثیر قرار می دهند، به عنوان «CVE-2018-16843» و «CVE-2018-16844» ردیابی می شوند. این معایب ممکن است به ترتیب باعث مصرف بیش از اندازه ی حافظه و پردازنده مرکزی (CPU) شوند.

نقص «CVE-2018-16844» توسط گال گلدشتین (Gal Goldshtein) از شرکت اف 5 نتورکز (F5 Networks) کشف شد.

ماکسیم دونین (Maxim Dounin)، توسعه دهنده ی اصلی سرور نام برده، نوشت:

2 نقص امنیتی در پیاده سازی «HTTP/2» انجین ایکس شناسایی شده است. آسیب پذیری «CVE-2018-16843» باعث مصرف بیش از اندازه ی حافظه و نقص «CVE-201816844» باعث مصرف بیش از حد پردازنده مرکزی می شود. نقص ها، انجین ایکس را که با «ngx_http_v2_module» کامپایل شده است (نه به صورت پیش فرض) تحت تاثیر قرار می دهد؛ اگر گزینه ی «http2» از دایرکتیو «listen» در فایل پیکر بندی استفاده شده باشد.

در زمان انتشار این خبر، با تحقیق در موتور جستجوی شودان (Shodan)، می توان بیش از یک میلیون سرور پیدا کرد که در حال اجرای نسخه های اصلاح نشده ی انجین ایکس هستند.

گروه انجین ایکس، ایراد «CVE-2018-16845» را که بر ماژول «ngx_http_mp4_module» اثر می گذاشت، اصلاح کرده اند. مهاجمان می توانند از این نقص استفاده کرده تا از طریق مشغول ساختن ماژول به پردازش یک فایل mp4 که به طور خاص ساخته شده است، فرایند ورکر (worker process) را به خرابی یا نشتی حافظه بکشانند.

در توصیه های امنیتی منتشر شده توسط «NVD» آمده است:

نسخه های پیش از 1.14.1 و 1.15.6 انجین ایکس، آسیب پذیری هایی را در «ngx_http_mp4_module» دارد که ممکن است به مهاجم اجازه دهد حلقه ای بی پایان را در فرایند ورکر ایجاد کند. این کار باعث می شود یک فرایند ورکر خراب شود یا ممکن است با استفاده از یک فایل mp4 که به طور خاص ساخته شده است، افشای حافظه در فرایند کارگر صورت بگیرد.

نقص یاد شده فقط در صورتی بر انجین ایکس اثر دارد که با «ngx_http_mp4_module» ساخته (ماژول به صورت پیش فرض ساخته نشده است) و دایرکتیو mp4 در فایل پیکر بندی آن استفاده شده باشد. علاوه بر این، حمله، تنها در صورتی امکان پذیر است که یک مهاجم پردازش یک فایل mp4 به خصوص ساخته شده را با «ngx_http_mp4_module» راه اندازی کند.

خطای «CVE-2018-16845» بر نسخه های 1.1.3 به بعد و 1.0.7 به بعد انجین ایکس موثر بوده است. گروه ذکر شده، این نقص را با انتشار نسخه های 1.15.6 و 1.14.1 اصلاح کرده است.