نفوذ به هزاران مسیریاب آسیب‌پذیر میکروتیک و شنود ترافیک شبکه

نفوذ به هزاران مسیریاب آسیب‌پذیر میکروتیک و شنود ترافیک شبکه

چهارشنبه, ۱۴ شهریور, ۱۳۹۷ ساعت ۸:۱۱

 

ماه قبل گزراشی منتشر شد مبنی بر اینکه ۲۰۰ هزار مسیریاب میکروتیک به یک بدافزار استخراج رمزارز آلوده شده‌اند. در فرآیند این آلودگی از یک آسیب‌پذیری که در گزارش‌های CIA Vault 7  منتشر شده بود، بهره‌برداری می‌شد. اینک محققان امنیتی از Qihoo 360 Net کشف کردند که ۳۷۰ هزار مسیریاب آسیب‌پذیر وجود دارد که بیش از ۷۵۰۰ مورد از آن‌ها آلوده شده و بر روی آن‌ها پروکسی Socks4  با اهداف مخرب فعال شده است. این قابلیت به مهاجمان اجازه می‌دهد بر روی دستگاه آسیب‌پذیر، ترافیک را شنود کنند. این حمله از اواسط ماه جولای در حال انجام است.


آسیب‌پذیری مورد نظر دارای شناسه‌ی CVE-2018-14847 بوده و به همراه یک آسیب‌پذیری اجرای کد از راه دور Webfig در ابزار نفوذ Chimay Red مورد بهره‌برداری قرار می‌گیرد. Winbox و Webfig هر دو مولفه‌های مدیریتی RouterOS  هستند و بر روی پورت‌های ۸۲۹۱، ۸۰ و ۸۰۸۰ به برقراری ارتباط می‌پردازند. Winbox برای کاربران ویندوز طراحی شده تا مسریاب‌هایی را که برخی DLL ها را دانلود و بر روی سیستم اجرا می‌کنند، بتوان به راحتی پیکربندی کرد. به گفته‌ی محققان امنیتی از ۱٫۲ میلیون مسیریاب میکروتیک، ۳۷۰ هزار مورد دارای آسیب‌پذیری CVE-2018-14847 هستند و این در حالی است که شرکت تولیدکننده، وصله‌های مربوط به آن را منتشر کرده است. محققان کشف کردند بدافزاری که از آسیب‌پذیری CVE-2018-14847 بهره‌برداری می‌کند، در ادامه می‌تواند اهداف مخرب همچون استخراج رمزارز CoinHive ، فعال کردن مخفیانه‌ی پروکسی Socks4 و جاسوسی از قربانی را عملیاتی کند. در ادامه هریک از این عملیات مخرب در مسیریاب‌های میکروتیک مورد بررسی قرار گرفته است.


تزریق کد برای استخراج CoinHive : پس از فعال کردن پروکسی HTTP، مهاجمان تمامی درخواست‌های پروکسی HTTP را به سمت یک صفحه‌ی خطای HTTP 403 محلی هدایت می‌کنند که در آن لینک برای استخراج این رمزارز تزریق می‌شود. 


فعال کردن پروکسی Sock4 : مهاجمان به‌طور مخفیانه بر روی درگاه ۴۱۵۳ پروتکل TCP پروکسی Socks4 را فعال کرده و در ادامه می‌توانند بر روی دستگاه کنترل کامل داشته باشند. این راه‌کار باعث می‌شود حتی پس از راه‌اندازی مجدد و عوض شدن IP، آلودگی حفظ شود چرا که دستگاه آسیب‌پذیر به‌طور دوره‌ای آدرس IP خود را به سمت URL مهاجمان ارسال می‌کند. محققان اعلام کردند بر روی ۲۳۹ هزار آدرس IP پروکسی Socks4 با اهداف مخرب فعال شده است.


قربانیان این حملات در کشورهای مختلف از جمله روسیه، ایران، برزیل، هند، اوکراین، بنگلادش، اندونزی، اکوادور، ایالات متحده، آرژانتین، کلمبیا، لهستان، کنیا، عراق و برخی از کشورهای اروپایی و آسیایی واقع شده‌اند و روسیه بیشترین آسیب را به خود اختصاص داده است. محققان آدرس‌های IP قربانیان را به دلایل امنیتی به طور عمومی به اشتراک نگذاشتند، اما اعلام شده که واحدهای امنیتی مربوطه در کشورهای آسیب‌دیده می‌توانند با این مرکز تماس گرفته و فهرست IP های آسیب‌پذیر و آلوده را دریافت کنند. 


بهترین روش برای محافظت در برابر چنین حملاتی این است که هرچه سریع‌تر مسیریاب‌های آسیب‌پذیر میکروتیک به‌روزرسانی شده و آخرین وصله‌ها دریافت و نصب شود. به کاربران MikroTik RouterOS به شدت توصیه می‌شود دستگاه‌های خود را به‌روزرسانی کرده و همچنین بررسی کنند که پروکسی HTTP، پروکسی Socks4 و تابع ضبط ترافیک شبکه با اهداف مخرب مورد بهره‌برداری قرار نگرفته باشند.
 

منبع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

15 − دو =