Arcadyan固件身份验证绕过漏洞，全球数百万路由器被利用

Arcadyan固件爆出身份验证绕过漏洞，全球数百万路由器被黑客利用，将它们纳入用于执行 DDoS 攻击的 Mirai 变体僵尸网络。

该漏洞编号为CVE-2021-20090（CVSS 分数：9.9），涉及带有 Arcadyan 固件的路由器的 Web 界面中的路径遍历漏洞，该漏洞可能允许未经身份验证的远程攻击者绕过身份验证。

Tenable 于 8 月 3 日披露，该问题据信已存在至少 10 年，影响了 17 家不同供应商的至少 20 款机型，包括华硕、Beeline、英国电信、Buffalo、德国电信、Orange、Telstra、Telus、Verizon ，和沃达丰。

成功利用可以使攻击者绕过身份验证障碍并可能获得敏感信息的访问权限，包括有效的请求令牌，这些信息可用于发出更改路由器设置的请求。

瞻博网络威胁实验室上周表示，从 8 月 5 日开始，它“确定了一些试图利用来自中国湖北省武汉市的 IP 地址在野外利用此漏洞的攻击模式”，攻击者利用它来部署 Mirai 变体在受影响的路由器上，反映了今年 3 月初 Palo Alto Networks 的 Unit 42揭示的类似技术。

研究人员说：“这种相似性可能表明，这次新攻击的幕后黑手是同一个威胁参与者，并试图用另一个新披露的漏洞升级他们的渗透武器库。”

除了 CVE-2021-20090 之外，攻击者还利用许多其他漏洞进行攻击，例如：

• CVE-2020-29557（D-Link DIR-825 R1 设备中的预认证远程代码执行）
• CVE-2021-1497 和 CVE-2021-1498（Cisco HyperFlex HX 中的命令注入漏洞）
• CVE-2021-31755（Tenda AC11 中的堆栈缓冲区溢出漏洞导致任意代码执行）
• CVE-2021-22502（Micro Focus Operation Bridge Reporter 中的远程代码执行缺陷）
• CVE-2021-22506（Micro Focus Access Manager 中的信息泄漏漏洞）

Unit 42 的报告此前发现了多达 6 个已知和 3 个未知安全漏洞，这些漏洞在攻击中被利用，包括针对 SonicWall SSL-VPN、D-Link DNS-320 防火墙、Netis WF2419 无线路由器和 Netgear ProSAFE Plus 交换机的漏洞.

为避免任何潜在的危害，建议用户将其路由器固件更新到最新版本。

“很明显，威胁行为者会密切关注所有公开的漏洞。每当发布漏洞利用 PoC 时，他们通常只需要很少的时间将其集成到他们的平台中并发起攻击，”研究人员说。