مرکز آپا دانشگاه کردستان

مورد بهره‌برداری قرار گرفتن میلیون‌ها روتر از طریق دور زدن نقص در احراز هویت

محقق امنیتی در شرکت امنیت اطلاعات Tenable Evan Grant یک نقص را شناسایی کرده است که این نقص امنیتی جدی، میلیون‌ها روتر را در سراسر جهان در معرض خطر قرار می‌دهد. بر اساس گزارش این تحلیلگر امنیتی، این نقص یک آسیب‌پذیری مهم است که احراز هویت را دور زده و به دستگاه های خانگی که از Firmware مدل Arcadyan استفاده می‌کنند حمله می‌کند. این حمله به طور کلی عوامل تهدید را قادر می‌سازد تا دستگاه‌های آلوده را کنترل کرده و از آنها برای انجام حملات با استفاده از بات نت Mirai استفاده کند. آسیب پذیر بودن میلیون ها روتر پس از بررسی حمله، تحلیلگران امنیتی دریافتند که این آسیب پذیری میلیون ها مدل روتر از شرکت‌های مختلف را مورد حمله قرار داده است که شامل موارد زیر است: • Asus • British Telecom • Deutsche Telekom • Orange • O2 (Telefonica) • Verizon • Vodafone • Telstra • Telus این آسیب‌پذیری امنیتی توسط Tenable شناسایی شده است، که با شناسه آسیب پذیری CVE-2021-20090 و با نمره CVSS 9.9 ردیابی می شود و پس از شناسایی آن در 26 آوریل، کارشناسان نیز برای آن PoC ارائه کرده‌اند. جزئیات حمله پس از بررسی، کارشناسان امنیتی دریافتند که حمله از آدرس 27.22.80.19 از طریق HTTP آغاز شده است. علاوه بر این، مهاجمان پیکربندی همه دستگاه های مورد حمله را تغییر داده اند و به Telnet اجازه می دهد از ARC_SYS_TelnetdEnable = 1 استفاده کند. پس از انجام این کار، اقدام به دانلود یک اسکریپت جدید از آدرس 212.192.241.72 با استفاده از wget یا curl می کند و سپس کل عملیات برنامه ریزی شده را مدیریت می کند. آغاز شدن حملات دو روز بعد از انتشار PoC جالب ترین نکته این است که آزمایشگاه امنیتی Juniper Threat برخی از الگوهای حمله را شناسایی کرده است که سعی در بهره برداری از این آسیب پذیری دارند و پس از بررسی آن، تحلیلگران متوجه شدند که این آدرس از آدرس های IP است که در ابتدا در ووهان، استان هوبئی، چین واقع شده است. با این حال، در این حمله، مجرمان سایبری از برخی ابزارهای مخرب استفاده می کنند تا بتوانند یک نوع بات نت Mirai را به کار گیرند، و کاملاً شبیه آن هایی است که در کمپین Mirai مورد استفاده قرار گرفت و IoT و دستگاه های امنیتی شبکه را مورد هدف قرار داد. در هر دو حمله، شباهت هایی وجود دارد و محققان اظهار کردند که پس از مطالعه شباهت ها نشان می دهد که عوامل تهدید پشت این حملات یکسان هستند. با این حال، برای اطلاع از جزئیات دقیق این حملات، تحلیلگران امنیتی در حال بررسی کل موضوع هستند و مدعی شده اند که به زودی جزئیات این حمله را فاش خواهند کرد. تهیه و تدوین: تینا احمدی