漏洞情报 | Arcadyan固件路径遍历漏洞在野利用，影响数百万路由器

x01 漏洞描述

360漏洞云监测到多款基于Arcadyan固件的路由器，包括Buffalo WSR-2533DHPL2 （固件版本 <= 1.02）和 WSR-2533DHP3（固件版本 <= 1.24），受到一路径遍历漏洞（CVE-2021-20090）的影响。该漏洞源于web界面处理目录遍历序列时的输入验证错误，远程攻击者可通过发送特制的HTTP请求绕过身份验证。

该漏洞最初于2021年4月被披露存在于Buffalo路由器中，后被发现其实际存在于Arcadyan固件中，影响至少17家厂商的数百万路由器和IOT设备。

2021年8月3日，安全研究人员公开了该漏洞的POC。

2021年8月5日，安全研究人员监测到该漏洞存在在野利用，攻击者正在通过其传播 Mirai 恶意软件。

0x02 危害等级

高危：8.1

0x03 影响设备

• ADB ADSL wireless IAD router 1.26S-R-3P
• Arcadyan ARV7519 00.96.00.96.617ES
• Arcadyan VRV9517 6.00.17 build04
• Arcadyan VGV7519 3.01.116
• Arcadyan VRV9518 1.01.00 build44
• ASMAX BBR-4MG / SMC7908 ADSL 0.08
• ASUS DSL-AC88U (Arc VRV9517) 1.10.05 build502
• ASUS DSL-AC87VG (Arc VRV9510) 1.05.18 build305
• ASUS DSL-AC3100 1.10.05 build503
• ASUS DSL-AC68VG 5.00.08 build272
• Beeline Smart Box Flash 1.00.13_beta4
• British Telecom WE410443-SA 1.02.12 build02
• Buffalo WSR-2533DHPL2 1.02
• Buffalo WSR-2533DHP3 1.24
• Buffalo BBR-4HG
• Buffalo BBR-4MG 2.08 Release 0002
• Buffalo WSR-3200AX4S 1.1
• Buffalo WSR-1166DHP2 1.15
• Buffalo WXR-5700AX7S 1.11
• Deutsche Telekom Speedport Smart 3 010137.4.8.001.0
• HughesNet HT2000W 0.10.10
• KPN ExperiaBox V10A (Arcadyan VRV9517) 5.00.48 build453
• KPN VGV7519 3.01.116
• O2 HomeBox 6441 1.01.36
• Orange LiveBox Fibra (PRV3399) 00.96.00.96.617ES
• Skinny Smart Modem (Arcadyan VRV9517) 6.00.16 build01
• SparkNZ Smart Modem (Arcadyan VRV9517) 6.00.17 build04
• Telecom (Argentina) Arcadyan VRV9518VAC23-A-OS-AM 1.01.00 build44
• TelMex PRV33AC 1.31.005.0012
• TelMex VRV7006
• Telstra Smart Modem Gen 2 (LH1000) 0.13.01r
• Telus WiFi Hub (PRV65B444A-S-TS) v3.00.20
• Telus NH20A 1.00.10debug build06
• Verizon Fios G3100 1.5.0.10
• Vodafone EasyBox 904 4.16
• Vodafone EasyBox 903 30.05.714
• Vodafone EasyBox 802 20.02.226

0x04 修复建议

360漏洞云建议受影响的用户尽快将设备固件升级到最新版本，并联系厂商确认漏洞修复或缓解方案。