Уязвимость в домашних маршрутизаторах 17 производителей

[madesta]

В сети зафиксирована массовая атака на домашние маршрутизаторы, в прошивках которых используется реализация http-сервера от компании Arcadyan. Для получения управления над устройствами применяется сочетание двух уязвимостей, позволяющих удалённо выполнить произвольный код с правами root. Проблема затрагивает достаточно большой спектр ADSL-маршрутизаторов от компаний Arcadyan, ASUS и Buffalo, а также устройств, поставляемых под брендами Билайн (проблема подтверждена в Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone и других операторов связи. Отмечается, что проблема присутствует в прошивках Arcadyan уже более 10 лет и за это время успела перекочевать как минимум в 20 моделей устройств от 17 различных производителей.
Судя по динамике распространения атаки многие операторы оставляют на своих устройствах доступ из внешней сети для упрощения диагностики проблем службой поддержки. При ограничении доступа к интерфейсу только для внутренней сети атака может быть совершена из внешней сети при помощи техники "DNS rebinding". Уязвимости уже активно используются для подключения маршрутизаторов к ботнету Mirai.
Подробности

[WWolf]

а также устройств, поставляемых под брендами Билайн

Уязвимости уже активно используются для подключения маршрутизаторов к ботнету Mirai

вон оно чё, Михалыч у меня вчера постоянно висло ТВ

[Whowka]

Вот зачем так? Новость выложил и всё, тишина!!! У меня роутер ASUS. Угроза есть, куда бежать, что делать, как лечить?!?!

[ilikethat]

Whowka, лечится просто.
Нужен браузер хром, спиртосодержащая жидкость не менее 10' крепости и органическая субстанция с большим содержанием белка. Выпиваете, закусываете и смотрете видосики на ютубе. И все, взлом роутера Вас уже не волнует.

[Whowka]

ilikethat, Хром или Хрум? Огурчики малосольные есть, а Хрома нет...

[madesta]

что делать, как лечить

Печалька, конечно. Разве что каким-то образом вырубить встроенный веб-сервер и настраивать через какой-нибудь ssh либо прошивку обновлять. Должны же производители каким-то образом реагировать. А вообще об этом должна болеть голова у службы поддержки провайдера, раз он хочет чего-то там на роутере удалённо диагностировать. Но у нас же не как у людёв, мы рождены преодолевать трудности. У меня от провайдера Huawei, но по случаю на халяву достался роутер MikroTik, который и включен между Huawei и домашними компьютерами.

[Whowka]

У меня от провайдера Huawei, но по случаю на халяву достался роутер MikroTik,

Тааак... Вот ща непонятно. У меня, на входе, сразу не от провайдера, личный. Это шо ж, и спиртосодержащая жидкость не нужна?

[madesta]

сразу не от провайдера, личный. Это шо ж, и спиртосодержащая жидкость не нужна?

Так если в Интернет смотрит личный роутер, то не должно быть проблем для беспокойства. Просто проверить, чтобы он не давал доступ на веб-сервер следующего за ним маршрутизатора, который обслуживает домашние компьютеры либо ЛВС. А провайдер допускает использование личных устройств для связи с ним? А то у меня провайдер прописывает у себя устройство, не допуская использование для связи с ним личных, то есть допускается использование только того, которое выдал провайдер. Иначе - кирдык, связи не будет.

[Whowka]

А провайдер допускает использование личных устройств для связи с ним?

Да, я сам купил роутер, позвонил провайдеру и он просто прописал новый "мак". Поменял, позвонил, перепрописал, хотя, можно было и клонировать.
Или мы о разном?

чтобы он не давал доступ на веб-сервер следующего за ним маршрутизатора

У меня один.

[madesta]

Ах, вот оно что. Сначала не понял, так как у меня провайдер роутер выдаёт бесплатно и заменяет сломавшийся также бесплатно.
Прочитал более внимательно на open.net Нашёл, что вторая используемая уязвимость CVE-2021-20091 касается использования DNS rebinding Список маршрутизаторов, которые успешно атакуются представленным на BlackHat инструментом Rebind можно посмотреть здесь. Не факт, что ваша модель роутера будет в этом списке. Пишут, что шансы на успех атаки значительно снижаются, если пользователь меняет стандартный пароль для доступа к интерфейсу маршрутизатора на свой собственный, стойкий.
Гы-гы! Когда мне надо было получить полный административный доступ к роутеру, а не несколько урезанный по пользователю и паролю, то необходимые данные нашёл в Интернет. И не нашёл где поменять этот вшитый административный доступ к настройкам роутера.
Взглянул на настройки Huawei, который у меня от провайдера. Интересно, что во вкладке Security - Device Access Control напротив строки Enable the LAN-side PC to access the device through HTTP галочка стоит, а напротив строки Enable the LAN-side PC to access the device through SSH галочка не стоит. теоретически, если поменять галочки местами, что можно вырубить доступ к модему по веб и использовать для управления только SSH. Но, вроде как это касается доступа из внутренней сети, а про извне не совсем понятно.
Ну а удалённое управление осуществляется провайдером через TR-069, который активен через System Tools. Там многа букаф, но общие сведения что это такое и с чем его едят можно почитать здесь.
Короче, везде бардак. В моей ситуации выходом из состояния полной паранойи является перевод роутера от провайдера в режим Bridge, а поднимать PPPoE будет уже стоящий за ним MikroTik, у которого хоть вменяемая линуксовая конфигурация в отличие от зубодробительного конфигурационного файла роутера от провайдера. Хотя когда лазил по конфигурационному файлу Huawei, то сразу было видно, что провайдер приложил к нему свои ручки. Может какие дыры он и закрыл. Вообще-то всё, что касается каких-то уязвимостей роутеров, по-моему мнению, должно быть головной болью провайдера, а не конечного потребителя.