Обнаруженная уязвимость в CGI позволяет осуществить MitM-атаку


MitM-атакаИсследователем из VendHQ была обнаружена опасная уязвимость, основанная на ошибке 15-летней давности. Уязвимость затрагивает большое число дистрибутивов Linux и языков программирования. Ее эксплуатация позволяет осуществить атаку "человек посередине" на web-серверы. Данная брешь получила название Httpoxy. Она затрагивает web-приложения на стороне сервера, использующие CGI-интерфейс (Common Gateway Interface) или CGI-окружение, например, FastCGI для PHP, Python и Go.

Исследователь описывает Httpoxy, как набор уязвимостей, которые возникли из-за простого конфликта имен, связанных с HTTP заголовками. В свою очередь они небезопасно полагаются на переменную "HTTP_PROXY" при генерации предаваемых запросов. Данная проблема позволяет злоумышленнику удаленно изменить значение переменной HTTP_PROXY на web-сервере с помощью специально сформированного HTTP-запроса.

Атакующий может:

  • удаленно проэксплуатировать уязвимость;
  • осуществить атаку "человек посередине";
  • перенаправить трафик на произвольный хост.


Также злоумышленник может перехватить и расшифровать трафик, или осуществить DoS-атаку, принуждая уязвимое ПО использовать вредоносный прокси-сервер.

Httpoxy включает целый ряд уязвимостей, влияющих на платформы и языки, включая:

  • PHP - CVE-2016-5385;
  • Go - CVE-2016-5386;
  • Apache HTTP Server - CVE-2016-5387;
  • Apache Tomcat - CVE-2016-5388;
  • HHVM - CVE-2016-1000109;
  • Python - CVE-2016-1000110.


Исследователь утверждает, что Httpoxy связана с уязвимостью в сценарии Perl, обнаруженной экспертом Рэндалом Шварцом (Randal L Schwartz) еще в 2001 году. И хотя Щварц исправил уязвимость, тем не менее, подобные ошибки повторялись множество раз.


Обновлено (27.08.2016 14:44)