CVE-2021-20090

Arcadyan Buffalo Firmware

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Arcadyan Buffalo firmware contains a path traversal vulnerability that could allow unauthenticated, remote attackers to bypass authentication and access sensitive information. This vulnerability affects multiple routers across several different vendors.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа Path Traversal (CWE-22) в веб-интерфейсе прошивки позволяет удаленному злоумышленнику без аутентификации обращаться к файлам за пределами корневой директории веб-сервера.

  • Механизм атаки: Злоумышленник отправляет специально сформированный HTTP-запрос, содержащий последовательности типа ../ (например, /cgi-bin/../../etc/passwd), чтобы получить доступ к конфиденциальным файлам системы.
  • Цель атаки: Обход аутентификации, чтение критичных системных файлов (паролей, конфигураций), что может привести к полному компрометированию устройства.

Как исправить

Основной метод — обновление прошивки до версии, в которой уязвимость устранена. Производитель Buffalo выпустил исправленные версии для каждой модели.

  1. Определите точную модель вашего роутера Buffalo. Модель указана на наклейке на корпусе устройства (например, WSR-2533DHP2, WSR-2533DHP3).
  2. Перейдите на официальный сайт поддержки Buffalo и найдите раздел загрузок для вашей модели: https://www.buffalotech.com/support/downloads

  3. Загрузите и установите последнюю версию прошивки. Для большинства моделей, подверженных CVE-2021-20090, исправление содержится в версиях прошивки, выпущенных после мая 2021 года. Конкретные версии зависят от модели.

    Примерный порядок обновления через веб-интерфейс: * Войдите в панель администратора роутера (обычно http://192.168.11.1). * Перейдите в раздел System Management -> Firmware Update. * Загрузите скачанный файл прошивки и следуйте инструкциям на экране. Роутер перезагрузится.

    Важно: Не прерывайте процесс обновления и питание устройства.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу управления:

    • В настройках роутера найдите раздел, связанный с управлением доступом к админ-панели (например, Administration -> Remote Management).
    • Отключите доступ из внешней сети (WAN). Оставьте доступ только из локальной сети (LAN).
    • Если функция необходима, ограничьте IP-адреса, которым разрешен доступ, статическим белым списком.

  2. Используйте правила межсетевого экрана:

    • На внешнем файрволе или маршрутизаторе выше запретите входящие подключения на порт веб-интерфейса роутера (обычно TCP/80 и TCP/443) из интернета. ```bash

    Пример правила iptables для запрета доступа из WAN к порту 80 роутера с внутренним IP 192.168.11.1

    iptables -A FORWARD -p tcp --dport 80 -d 192.168.11.1 -j DROP ```

  3. Настройте WAF (Web Application Firewall):

    • Если у вас есть корпоративный WAF (например, ModSecurity), активируйте или создайте правило для блокировки запросов, содержащих последовательности ../, ..\, %2e%2e%2f в URI.

Временные решения лишь снижают вероятность эксплуатации, но не устраняют уязвимость. Обновление прошивки — обязательная и приоритетная задача.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей