بهره‌برداری بات‌نت Satori از یک آسیب‌پذیری روز-صفرم در مسیریاب‌های هوآوی

بهره‌برداری بات‌نت Satori از یک آسیب‌پذیری روز-صفرم در مسیریاب‌های هوآوی

یکشنبه, ۳ دی, ۱۳۹۶ ساعت ۹:۳۲

 

هرچند کسانی که دست اندرکار ایجاد بات نت اینترنت اشیاء با نام Mirai بودند در حال حاضر بازداشت شده اند ولی هنوز شاهد حضور نسخه های مختلفی از این بات نت هستیم چرا که کد منبع این بدافزار به طور عمومی منتشر شده است. مهاجمان از این بدافزار استفاده کرده و بات نتی قدرتمند از دستگاه های اینترنت اشیاء از جمله مسیریاب های اداری و خانگی را ایجاد می کنند که در نهایت نیز می توانند از آن ها برای اجرای حملات منع سرویس توزیع شده استفاده کنند.


اینک شاهد نسخه‌ای جدید از این بدافزار هستیم که از یک آسیب‌پذیری روز-صفرم در مسیریاب‌های هوآوی بهره‌برداری می‌کند. این نسخه‌ی جدید از بات‌نت، Satori نام داشته و مسیریاب‌های هوآوی با مدل HG532 را هدف قرار داده است. محققان امنیتی این بدافزار را اواخر ماه نوامبر کشف کردند و متوجه شدند توانسته است در عرض ۱۲ ساعت نزدیک به ۲۰۰ هزار دستگاه را آلوده کند. 


محققان معتقدند یک نفوذگر ناشی با نام Nexus Zeta از یک آسیب‌پذیری روز-صفرم اجرای کد از راه دور با شناسه‌ی CVE-2017-17215 در دستگاه‌های مدل HG532 بهره‌برداری می‌کند. این آسیب‌پذیری به این دلیل وجود دارد که پیاده‌سازی پروتکل TR-064 که یک پروتکل لایه‌ی کاربرد برای مدیریتِ دستگاه از راه دور است، از طریق پروتکل UpnP و بر روی پورت ۳۷۲۱۵ در سطح اینترنت به‌طور عمومی منتشر شده است.


بهره‌برداری از این آسیب‌پذیری به مهاجم اجازه می‌دهد تا کدهای دلخواه و مخرب را بر روی دستگاه قربانی اجرا کند و از این رو مهاجم پس از بهره‌برداری می‌تواند کدهای مربوط به بات‌نت Satori را بر روی دستگاه بارگذاری کند. در حملات این بات‌نت، بات‌ها باید قربانیان را با ارسال سیل‌آسای بسته‌های جعلی UDP و TPC هدف قرار دهند. هرچند این حملات و آلودگی به بات‌نت در سراسر جهان مشاهده شده ولی کشورهایی مثل آمریکا، ایتالیا، آلمان و مصر بیش از بقیه تحت تاثیر قرار گرفته‌اند. 


محققان پس از کشف آسیب‌پذیری و بهره‌برداری برای نصب بات‌نت، این مساله را به شرکت هوآوی گزارش دادند و این شرکا قول داده تا روز جمعه در قالب یک سری به‌روزرسانی این آسیب‌پذیری را وصله خواهد کرد. این شرکت همچنین پیشنهاداتی را ارائه داده تا احتمال وقوع حملات کاهش یابد. از جمله‌ی این توصیه‌ها می‌توان فعال کردن قابلیت دیواره‌ی آتش و تغییر گواهی‌نامه‌های پیش‌فرض را نام برد. 
 

منبع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

2 × چهار =