【漏洞预警】基于 Arcadyan 的路由器和调制解调器中的身份验证漏洞 CVE-2021-20090

  • A+
所属分类:安全漏洞

点击上方蓝字“Ots安全”一起玩耍

台湾制造商 Arcadyan 的路由器和调制解调器存在 CVE-2021-20090 漏洞,可用于绕过身份验证。路由器和调制解调器由其他制造商以许多商品名出售。


该漏洞由 Tenable 发现并在本文档中进行了描述。同时,CERT 已于2021 年 7 月 20 日针对漏洞 CVE-2021-20090发布了此安全公告。


路径遍历漏洞 (CVE-2021-20090) 存在于使用基于 Arcadyan 的固件的不同供应商的众多路由器中。此漏洞允许未经身份验证的用户访问通常受保护的敏感信息,现在允许更改路由器配置。


如果成功利用此漏洞,攻击者就可以访问原本需要身份验证的页面。未经身份验证的攻击者可以获得敏感信息的访问权限,包括可用于发出更改路由器设置请求的有效请求令牌。


发现该漏洞的安全研究人员最初假设它仅限于一个路由器供应商并发布了他的发现,但后来发现该问题存在于多个供应商的路由器中使用的基于 Arcadyan 的软件中。Tenable 包含以下受影响设备列表:

Vendor  Device  Found on versionADB  ADSL wireless IAD router  1.26S-R-3PArcadyan  ARV7519  00.96.00.96.617ESArcadyan  VRV9517  6.00.17 build04Arcadyan  VGV7519  3.01.116Arcadyan  VRV9518  1.01.00 build44ASMAX  BBR-4MG / SMC7908 ADSL  0.08ASUS  DSL-AC88U (Arc VRV9517)  1.10.05 build502ASUS  DSL-AC87VG (Arc VRV9510)  1.05.18 build305ASUS  DSL-AC3100  1.10.05 build503ASUS  DSL-AC68VG  5.00.08 build272Beeline  Smart Box Flash  1.00.13_beta4British Telecom  WE410443-SA  1.02.12 build02Buffalo  WSR-2533DHPL2  1.02Buffalo  WSR-2533DHP3  1.24Buffalo  BBR-4HG   Buffalo  BBR-4MG  2.08 Release 0002Buffalo  WSR-3200AX4S  1.1Buffalo  WSR-1166DHP2  1.15Buffalo  WXR-5700AX7S  1.11Deutsche Telekom  Speedport Smart 3  010137.4.8.001.0HughesNet  HT2000W  0.10.10KPN  ExperiaBox V10A (Arcadyan VRV9517)  5.00.48 build453KPN  VGV7519  3.01.116O2  HomeBox 6441  1.01.36Orange  LiveBox Fibra (PRV3399)  00.96.00.96.617ESSkinny  Smart Modem (Arcadyan VRV9517)  6.00.16 build01SparkNZ  Smart Modem (Arcadyan VRV9517)  6.00.17 build04Telecom (Argentina)  Arcadyan VRV9518VAC23-A-OS-AM  1.01.00 build44TelMex  PRV33AC  1.31.005.0012TelMex  VRV7006   Telstra  Smart Modem Gen 2 (LH1000)  0.13.01rTelus  WiFi Hub (PRV65B444A-S-TS)  v3.00.20Telus  NH20A  1.00.10debug build06Verizon  Fios G3100  1.5.0.10Vodafone  EasyBox 904  4.16Vodafone  EasyBox 903  30.05.714Vodafone  EasyBox 802  20.02.226

CERT/CC 建议将路由器更新到最新的可用固件版本。还建议禁用每个 SoHo 路由器上的远程管理服务(WAN 端)并禁用 WAN 上的 Web 界面。

【漏洞预警】基于 Arcadyan 的路由器和调制解调器中的身份验证漏洞 CVE-2021-20090

本文始发于微信公众号(Ots安全):【漏洞预警】基于 Arcadyan 的路由器和调制解调器中的身份验证漏洞 CVE-2021-20090

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: