Fejl omgår godkendelse på millioner af routere

Sårbarhed har eksisteret i mindst 10 år.

Trusselsaktører udnytter pt. aktivt en kritisk authentification bypass-sårbarhed, der påvirker hjemmeroutere med Arcadyan-firmware til at overtage dem og implementere Mirai botnet. Det skriver Bleeping Computer.

Sårbarheden har id-nummer CVE-2021-20090 og er en kritisk ’path traversal’-sårbarhed, som har fået karakteren 9,9 ud af 10 på CVSS-skalaen. Den findes i routere's webgrænseflader med Arcadyan-firmware og kan gøre det muligt for uautentificerede remote angribere at omgå godkendelsen.

De igangværende angreb blev opdaget af researchere fra Juniper Threat Labs, mens de overvågede aktiviteten af ​​en trusselsaktør, der er kendt for at rette angreb mod netværk og Io-enheder.

Millioner af routere sandsynligvis udsat for angreb

De sårbare enheder omfatter snesevis af routermodeller fra flere leverandører og internetudbydere, herunder Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra og Telus. Bleeping Computer estimerer sig frem til, at det samlede antal routere, der kan udsættes for angreb, sandsynligvis er millioner.

Selve sikkerhedsfejlen blev opdaget af Tenable, der offentliggjorde en advisory den 26. april. Proof-of-concept udnyttelseskode blev offentliggjort den 3. august.

Tenable fortæller, at sårbarheden i Arcadyans firmware har eksisteret i mindst 10 år og har derfor fundet vej gennem forsyningskæden til mindst 20 modeller på tværs af 17 forskellige leverandører. Artiklen i Bleeping Computer gengiver alle kendte berørte enheder og leverandører (herunder sårbare firmwareversioner).

Angreb startede to dage efter frigivelse af PoC

Siden torsdag har Juniper Threat Labs identificeret nogle angrebsmønstre, der forsøger at udnytte sårbarheden, som angiveligt kommer fra en IP -adresse i Wuhan i Kina.

Det fremgår ligeledes, at trusselsaktørerne bag den igangværende kampagne bruger værktøjer til at implementere en Mirai botnet-variant, der ligner dem, der blev brugt i en Mirai-kampagne i marts. Her var det IoT og netværkssikkerhedsenheder, der var mål for aktiviteterne.

Links:

https://www.bleepingcomputer.com/news/security/actively-exploited-bug-bypasses-authentication-on-millions-of-routers/  

https://therecord.media/routers-and-modems-running-arcadyan-firmware-are-under-attack/