• 本文作者: 天融信安全应急响应中心
  • |
  • 2018年10月30日
  • |
  • 漏洞预警
  • |

CVE-2018-18778原创漏洞安全通告

一、概述

近日,天融信阿尔法实验室研究员发现了大量应用于IOT设备的Mini_httpd组件存在(CVE-2018-18778)任意文件读取漏洞,并可能影响全球百万在线设备。 Mini_httpd是一个小型Http服务器,占用系统资源较小,因此被广泛采用于IOT设备(比如路由器、摄像头等),通过该漏洞,恶意攻击者可以读取设备上的任意文件,严重威胁设备的安全性。

目前阿尔法实验室已经联合Mini_httpd官方ACME修补了该漏洞,官方提供了更新版本。

 

二、漏洞影响

  Mini_httpd组件被大量设备厂商采用,通过网络探测搜索到采用Mini_httpd的组件设备数量达到惊人的1239248台,采用Mini_httpd的设备覆盖全球主要国家和地区,其中中国大陆达到10387台,数量最多的是台湾地区达到334590台。

三、漏洞描述

漏洞原因是由于没有过滤Http包头的特定字段,导致可以构造访问系统文件的路径,从而导致可访问任意文件,攻击者可以利用该漏洞读取设备的任意文件,这将严重威胁采用Mini_httpd的设备的安全性。

3.1漏洞等级

高危

3.2受影响版本

ACME mini_httpd before 1.30 

 

四、漏洞验证

 

webwxgetmsgimg

 

五、修复建议

为保障公共安全,天融信阿尔法实验室建议:

在漏洞未完全修复前,设备使用方应限制问题设备的互联网访问权限。

请下载最新ACME mini_httpd 1.3版本

Mini_httpd官方网址:http://www.acme.com/software/mini_httpd/

Written by 天融信安全应急响应中心