Новая уязвимость ставит под угрозу миллионы роутеров минимум 17 брендов

[душман]

Juniper Threat Labs обнаружила активное использование новых уязвимостей в прошивках миллионов домашних роутеров, а также в ряде IoT-устройств на той же кодовой базе. Объединяет их то что, они используют прошивку от Arcadyan, крупного OEM-производителя роутеров, терминалов, ТВ-приставок и других устройств, услугами которого пользуются множество брендов. Уязвимости CVE-2021-20090 и CVE-2021-20091, обнаруженные Tenable, затрагивают маршрутизаторы минимум 17 брендов, в том числе те, что предоставляются конечным пользователям интернет-провайдерами. Они позволяют обойти аутентификацию и изменить конфигурацию устройства, открыв, к примеру, доступ к telnet с правами администратора.

Хуже всего то, что первая уязвимость присутствует более 10 лет, с мая 2008 года. По данным Tenable, минимум 13 интернет-провайдеров в 11 странах использует проблемные устройства. Вторая уязвимость есть не во всех устройствах, но даже первой достаточно для подмены DNS или, к примеру, доступа к другим устройствам в локальной сети. Кроме того, отмечают исследователи, даже если нет второй уязвимости, в прошивках всё равно есть другие.

Специалисты Juniper Threat Labs выявили несколько шаблонов атак, которые пытаются использовать бреши. Источником стал IP-адрес в Ухане, провинция Хубэй, Китай. Предполагается, что злоумышленники пытаются развернуть подобие ботнета Mirai. Несколько дней назад стало понятно, что атаки начались ещё в середине февраля этого года. А с июня те же злоумышленники начали дополнительно использовать и другие уязвимости в устройствах DLink, Cisco HyperFlex, Tenda и др.