Маршрутизаторы и модемы с прошивкой Arcadyan (включая устройства Asus, Orange, Vodafone и Verizon) подвергаются атаками со стороны хакера, пытающегося сделать их частью своего DDoS-ботнета на базе Mirai.
Впервые атаки были замечены в конце прошлой недели специалистами компании Bad Packets. Вскоре существование проблемы подтвердили и аналитики Juniper Labs, сообщив, что в рамках этой вредоносной кампании неизвестные злоумышленники эксплуатируют уязвимость CVE-2021-20090 (9,9 балла из 10 по шкале CVSS). Эта проблема позволяет обойти аутентификацию и включить Telnet на проблемных маршрутизаторах и модемах, что даст злоумышленнику возможность удаленно подключаться к скомпрометированным девайсам.
As of 2021-08-05T04:09:44Z, DDoS botnet operators are scanning the internet for Buffalo routers vulnerable to CVE-2021-20091 (https://t.co/OyZT3Be2SP).
— Bad Packets (@bad_packets) August 5, 2021
This vulnerability allows attackers to alter device configuration leading to remote code execution. #threatintel
Уязвимость в прошивке тайваньской фирмы Arcadyan была найдена ранее в этом году специалистами компании Tenable. Они заявляют, что проблема существовала в коде не менее 10 лет и теперь обнаруживается в прошивках как минимум 20 моделей маршрутизаторов и модемов, продаваемых 17 различными производителями, которые базируют свои продукты на старых white-label устройствах Arcadyan.
В итоге уязвимости оказались подвержены девайсы крупнейших поставщиков и интернет-провайдеров, включая Asus, Orange, Vodafone, Telstra, Verizon, Deutsche Telekom, British Telecom и так далее. Общее количество устройств, уязвимых пред атаками, вероятно, исчисляется миллионами, предупреждают эксперты.
| Вендор | Устройство | Версия прошивки |
| ADB | ADSL wireless IAD router | 1.26S-R-3P |
| Arcadyan | ARV7519 | 00.96.00.96.617ES |
| Arcadyan | VRV9517 | 6.00.17 build04 |
| Arcadyan | VGV7519 | 3.01.116 |
| Arcadyan | VRV9518 | 1.01.00 build44 |
| ASMAX | BBR-4MG / SMC7908 ADSL | 0.08 |
| ASUS | DSL-AC88U (Arc VRV9517) | 1.10.05 build502 |
| ASUS | DSL-AC87VG (Arc VRV9510) | 1.05.18 build305 |
| ASUS | DSL-AC3100 | 1.10.05 build503 |
| ASUS | DSL-AC68VG | 5.00.08 build272 |
| Beeline | Smart Box Flash | 1.00.13_beta4 |
| British Telecom | WE410443-SA | 1.02.12 build02 |
| Buffalo | WSR-2533DHPL2 | 1.02 |
| Buffalo | WSR-2533DHP3 | 1.24 |
| Buffalo | BBR-4HG | |
| Buffalo | BBR-4MG | 2.08 Release 0002 |
| Buffalo | WSR-3200AX4S | 1.1 |
| Buffalo | WSR-1166DHP2 | 1.15 |
| Buffalo | WXR-5700AX7S | 1.11 |
| Deutsche Telekom | Speedport Smart 3 | 010137.4.8.001.0 |
| HughesNet | HT2000W | 0.10.10 |
| KPN | ExperiaBox V10A (Arcadyan VRV9517) | 5.00.48 build453 |
| KPN | VGV7519 | 3.01.116 |
| O2 | HomeBox 6441 | 1.01.36 |
| Orange | LiveBox Fibra (PRV3399) | 00.96.00.96.617ES |
| Skinny | Smart Modem (Arcadyan VRV9517) | 6.00.16 build01 |
| SparkNZ | Smart Modem (Arcadyan VRV9517) | 6.00.17 build04 |
| Telecom (Argentina) | Arcadyan VRV9518VAC23-A-OS-AM | 1.01.00 build44 |
| TelMex | PRV33AC | 1.31.005.0012 |
| TelMex | VRV7006 | |
| Telstra | Smart Modem Gen 2 (LH1000) | 0.13.01r |
| Telus | WiFi Hub (PRV65B444A-S-TS) | v3.00.20 |
| Telus | NH20A | 1.00.10debug build06 |
| Verizon | Fios G3100 | 1.5.0.10 |
| Vodafone | EasyBox 904 | 4.16 |
| Vodafone | EasyBox 903 | 30.05.714 |
| Vodafone | EasyBox 802 | 20.02.226 |
Обнаруженная в апреле уязвимость получила патч в том же месяце и до недавнего времени не подвергалась атакам. Злоумышленники заметили проблему лишь после того, как ИБ-специалист компании Tenable обнародовал ее детальное техническое описание, а также PoC-эксплоит. По информации Bad Packets, именно этот эксплоит и применяется теперь для атак, которые исходят с IP-адресов, расположенных в Ухане, Китай.
Исследователи считают, что за атаками стоит злоумышленник, уже обнаруженный компанией Palo Alto Networks весной 2021 года. Тогда его ботнет нацеливался на IoT-девайсы и защитные устройства.
