Уязвимость в реализации CGI позволяет осуществить атаку «человек посередине»

ИБ-исследователь VendHQ Доминик Ширлинк (Dominic Scheirlinck) обнаружил опасную уязвимость, основанную на ошибке 15-летней давности. Уязвимость влияет на большое число дистрибутивов Linux и языков программирования и позволяет осуществить атаку «человек посередине» на web-серверы. Уязвимость, получившая название Httpoxy, затрагивает web-приложения на стороне сервера, использующие CGI-интерфейс (Common Gateway Interface) или CGI-окружение, например, FastCGI для PHP, Python и Go.

Ширлинк описывает Httpoxy, как набор уязвимостей, возникнувших из-за простого конфликта имен, связанных с HTTP заголовками, которые небезопасно полагаются на переменную «HTTP_PROXY» при генерации предаваемых запросов. Данная проблема позволяет злоумышленнику удаленно изменить значение переменной HTTP_PROXY на web-сервере с помощью специально сформированного HTTP-запроса.

Атакующий может удаленно проэксплуатировать уязвимость, осуществить атаку «человек посередине» и перенаправить трафик на произвольный хост. Злоумышленник также может перехватить и расшифровать трафик, или осуществить DoS-атаку, принуждая уязвимое ПО использовать вредоносный прокси-сервер.

Httpoxy включает целый ряд уязвимостей, влияющих на платформы и языки, включая PHP (CVE-2016-5385), Go (CVE-2016-5386), Apache HTTP Server (CVE-2016-5387), Apache Tomcat (CVE-2016-5388), HHVM (CVE-2016-1000109) и Python (CVE-2016-1000110).

По словам Ширлинка, Httpoxy связана с уязвимостью в сценарии Perl, обнаруженной экспертом Рэндалом Шварцом (Randal L Schwartz) в 2001. Щварц исправил уязвимость, однако подобные ошибки повторялись множество раз.