GoAhead 存高危漏洞，数十万IoT设备面临安全威胁

据澳大利亚信息技术安全公司Elttam 的安全研究人员发现，开源GoAhead Web服务存在高危漏洞(CVE-2017-17562)，可被利用执行远程执行恶意代码。Embedthis GoAhead 3.6.5之前的版本均受到影响。

GoAhead是美国Embedthis软件公司的一款嵌入式Web服务器。Embedthis官网的信息显示，这款产品目前部署在多款业内知名厂商的产品中，包括Comcast、甲骨文、D-Link、中兴、惠普、西门子、佳能等。

50万-70万台设备受影响

Embedthis公司收到Elttam的漏洞报告之后发布了补丁。虽然有补丁可用，但所有硬件供应商要在所有受影响设备的固件更新中集成补丁可能需要数月，乃至数年，而有些设备还会因为太过老旧不会收到更新。

从Shodan的搜索结果来看，受影响的设备介于50万至70万之间。Elttam已发布PoC代码供其它研究人员查看是否有受影响的设备。

这个存在于微小软件组件中的漏洞可能会引发更严重的问题。

GoAhead在2017年3月也被曝存在安全漏洞。Mirai、Hajime、BrickerBot、Persirai等恶意软件2016年也曾利用过GoAhead的安全漏洞。针对物联网的恶意攻击者或许不会错失这样的机会，抑或他们已经在采取行动。