一、概述
近日,天融信阿尔法实验室研究员发现了大量应用于IOT设备的Mini_httpd组件存在(CVE-2018-18778)任意文件读取漏洞,并可能影响全球百万在线设备。 Mini_httpd是一个小型Http服务器,占用系统资源较小,因此被广泛采用于IOT设备(比如路由器、摄像头等),通过该漏洞,恶意攻击者可以读取设备上的任意文件,严重威胁设备的安全性。
目前阿尔法实验室已经联合Mini_httpd官方ACME修补了该漏洞,官方提供了更新版本。
二、漏洞影响
Mini_httpd组件被大量设备厂商采用,通过网络探测搜索到采用Mini_httpd的组件设备数量达到惊人的1239248台,采用Mini_httpd的设备覆盖全球主要国家和地区,其中中国大陆达到10387台,数量最多的是台湾地区达到334590台。
三、漏洞描述
漏洞原因是由于没有过滤Http包头的特定字段,导致可以构造访问系统文件的路径,从而导致可访问任意文件,攻击者可以利用该漏洞读取设备的任意文件,这将严重威胁采用Mini_httpd的设备的安全性。
3.1漏洞等级
高危
3.2受影响版本
ACME mini_httpd before 1.30
四、漏洞验证
五、修复建议
为保障公共安全,天融信阿尔法实验室建议:
在漏洞未完全修复前,设备使用方应限制问题设备的互联网访问权限。
请下载最新ACME mini_httpd 1.3版本
Mini_httpd官方网址:http://www.acme.com/software/mini_httpd/