ماه قبل گزراشی منتشر شد مبنی بر اینکه ۲۰۰ هزار مسیریاب میکروتیک به یک بدافزار استخراج رمزارز آلوده شدهاند. در فرآیند این آلودگی از یک آسیبپذیری که در گزارشهای CIA Vault 7 منتشر شده بود، بهرهبرداری میشد. اینک محققان امنیتی از Qihoo 360 Net کشف کردند که ۳۷۰ هزار مسیریاب آسیبپذیر وجود دارد که بیش از ۷۵۰۰ مورد از آنها آلوده شده و بر روی آنها پروکسی Socks4 با اهداف مخرب فعال شده است. این قابلیت به مهاجمان اجازه میدهد بر روی دستگاه آسیبپذیر، ترافیک را شنود کنند. این حمله از اواسط ماه جولای در حال انجام است.
آسیبپذیری مورد نظر دارای شناسهی CVE-2018-14847 بوده و به همراه یک آسیبپذیری اجرای کد از راه دور Webfig در ابزار نفوذ Chimay Red مورد بهرهبرداری قرار میگیرد. Winbox و Webfig هر دو مولفههای مدیریتی RouterOS هستند و بر روی پورتهای ۸۲۹۱، ۸۰ و ۸۰۸۰ به برقراری ارتباط میپردازند. Winbox برای کاربران ویندوز طراحی شده تا مسریابهایی را که برخی DLL ها را دانلود و بر روی سیستم اجرا میکنند، بتوان به راحتی پیکربندی کرد. به گفتهی محققان امنیتی از ۱٫۲ میلیون مسیریاب میکروتیک، ۳۷۰ هزار مورد دارای آسیبپذیری CVE-2018-14847 هستند و این در حالی است که شرکت تولیدکننده، وصلههای مربوط به آن را منتشر کرده است. محققان کشف کردند بدافزاری که از آسیبپذیری CVE-2018-14847 بهرهبرداری میکند، در ادامه میتواند اهداف مخرب همچون استخراج رمزارز CoinHive ، فعال کردن مخفیانهی پروکسی Socks4 و جاسوسی از قربانی را عملیاتی کند. در ادامه هریک از این عملیات مخرب در مسیریابهای میکروتیک مورد بررسی قرار گرفته است.
تزریق کد برای استخراج CoinHive : پس از فعال کردن پروکسی HTTP، مهاجمان تمامی درخواستهای پروکسی HTTP را به سمت یک صفحهی خطای HTTP 403 محلی هدایت میکنند که در آن لینک برای استخراج این رمزارز تزریق میشود.
فعال کردن پروکسی Sock4 : مهاجمان بهطور مخفیانه بر روی درگاه ۴۱۵۳ پروتکل TCP پروکسی Socks4 را فعال کرده و در ادامه میتوانند بر روی دستگاه کنترل کامل داشته باشند. این راهکار باعث میشود حتی پس از راهاندازی مجدد و عوض شدن IP، آلودگی حفظ شود چرا که دستگاه آسیبپذیر بهطور دورهای آدرس IP خود را به سمت URL مهاجمان ارسال میکند. محققان اعلام کردند بر روی ۲۳۹ هزار آدرس IP پروکسی Socks4 با اهداف مخرب فعال شده است.
قربانیان این حملات در کشورهای مختلف از جمله روسیه، ایران، برزیل، هند، اوکراین، بنگلادش، اندونزی، اکوادور، ایالات متحده، آرژانتین، کلمبیا، لهستان، کنیا، عراق و برخی از کشورهای اروپایی و آسیایی واقع شدهاند و روسیه بیشترین آسیب را به خود اختصاص داده است. محققان آدرسهای IP قربانیان را به دلایل امنیتی به طور عمومی به اشتراک نگذاشتند، اما اعلام شده که واحدهای امنیتی مربوطه در کشورهای آسیبدیده میتوانند با این مرکز تماس گرفته و فهرست IP های آسیبپذیر و آلوده را دریافت کنند.
بهترین روش برای محافظت در برابر چنین حملاتی این است که هرچه سریعتر مسیریابهای آسیبپذیر میکروتیک بهروزرسانی شده و آخرین وصلهها دریافت و نصب شود. به کاربران MikroTik RouterOS به شدت توصیه میشود دستگاههای خود را بهروزرسانی کرده و همچنین بررسی کنند که پروکسی HTTP، پروکسی Socks4 و تابع ضبط ترافیک شبکه با اهداف مخرب مورد بهرهبرداری قرار نگرفته باشند.