Хакер #305. Многошаговые SQL-инъекции
Маршрутизаторы и модемы с прошивкой Arcadyan (включая устройства Asus, Orange, Vodafone и Verizon) подвергаются атаками со стороны хакера, пытающегося сделать их частью своего DDoS-ботнета на базе Mirai.
Впервые атаки были замечены в конце прошлой недели специалистами компании Bad Packets. Вскоре существование проблемы подтвердили и аналитики Juniper Labs, сообщив, что в рамках этой вредоносной кампании неизвестные злоумышленники эксплуатируют уязвимость CVE-2021-20090 (9,9 балла из 10 по шкале CVSS). Эта проблема позволяет обойти аутентификацию и включить Telnet на проблемных маршрутизаторах и модемах, что даст злоумышленнику возможность удаленно подключаться к скомпрометированным девайсам.
As of 2021-08-05T04:09:44Z, DDoS botnet operators are scanning the internet for Buffalo routers vulnerable to CVE-2021-20091 (https://t.co/OyZT3Be2SP).
— Bad Packets (@bad_packets) August 5, 2021
This vulnerability allows attackers to alter device configuration leading to remote code execution. #threatintel
Уязвимость в прошивке тайваньской фирмы Arcadyan была найдена ранее в этом году специалистами компании Tenable. Они заявляют, что проблема существовала в коде не менее 10 лет и теперь обнаруживается в прошивках как минимум 20 моделей маршрутизаторов и модемов, продаваемых 17 различными производителями, которые базируют свои продукты на старых white-label устройствах Arcadyan.
В итоге уязвимости оказались подвержены девайсы крупнейших поставщиков и интернет-провайдеров, включая Asus, Orange, Vodafone, Telstra, Verizon, Deutsche Telekom, British Telecom и так далее. Общее количество устройств, уязвимых пред атаками, вероятно, исчисляется миллионами, предупреждают эксперты.
Вендор | Устройство | Версия прошивки |
ADB | ADSL wireless IAD router | 1.26S-R-3P |
Arcadyan | ARV7519 | 00.96.00.96.617ES |
Arcadyan | VRV9517 | 6.00.17 build04 |
Arcadyan | VGV7519 | 3.01.116 |
Arcadyan | VRV9518 | 1.01.00 build44 |
ASMAX | BBR-4MG / SMC7908 ADSL | 0.08 |
ASUS | DSL-AC88U (Arc VRV9517) | 1.10.05 build502 |
ASUS | DSL-AC87VG (Arc VRV9510) | 1.05.18 build305 |
ASUS | DSL-AC3100 | 1.10.05 build503 |
ASUS | DSL-AC68VG | 5.00.08 build272 |
Beeline | Smart Box Flash | 1.00.13_beta4 |
British Telecom | WE410443-SA | 1.02.12 build02 |
Buffalo | WSR-2533DHPL2 | 1.02 |
Buffalo | WSR-2533DHP3 | 1.24 |
Buffalo | BBR-4HG | |
Buffalo | BBR-4MG | 2.08 Release 0002 |
Buffalo | WSR-3200AX4S | 1.1 |
Buffalo | WSR-1166DHP2 | 1.15 |
Buffalo | WXR-5700AX7S | 1.11 |
Deutsche Telekom | Speedport Smart 3 | 010137.4.8.001.0 |
HughesNet | HT2000W | 0.10.10 |
KPN | ExperiaBox V10A (Arcadyan VRV9517) | 5.00.48 build453 |
KPN | VGV7519 | 3.01.116 |
O2 | HomeBox 6441 | 1.01.36 |
Orange | LiveBox Fibra (PRV3399) | 00.96.00.96.617ES |
Skinny | Smart Modem (Arcadyan VRV9517) | 6.00.16 build01 |
SparkNZ | Smart Modem (Arcadyan VRV9517) | 6.00.17 build04 |
Telecom (Argentina) | Arcadyan VRV9518VAC23-A-OS-AM | 1.01.00 build44 |
TelMex | PRV33AC | 1.31.005.0012 |
TelMex | VRV7006 | |
Telstra | Smart Modem Gen 2 (LH1000) | 0.13.01r |
Telus | WiFi Hub (PRV65B444A-S-TS) | v3.00.20 |
Telus | NH20A | 1.00.10debug build06 |
Verizon | Fios G3100 | 1.5.0.10 |
Vodafone | EasyBox 904 | 4.16 |
Vodafone | EasyBox 903 | 30.05.714 |
Vodafone | EasyBox 802 | 20.02.226 |
Обнаруженная в апреле уязвимость получила патч в том же месяце и до недавнего времени не подвергалась атакам. Злоумышленники заметили проблему лишь после того, как ИБ-специалист компании Tenable обнародовал ее детальное техническое описание, а также PoC-эксплоит. По информации Bad Packets, именно этот эксплоит и применяется теперь для атак, которые исходят с IP-адресов, расположенных в Ухане, Китай.
Исследователи считают, что за атаками стоит злоумышленник, уже обнаруженный компанией Palo Alto Networks весной 2021 года. Тогда его ботнет нацеливался на IoT-девайсы и защитные устройства.