مرکز آپا دانشگاه کردستان

هشدار به سازمان‌های دولتی در مورد اکسپلویت‌های جدید آسیب‌پذیری روترهای میکروتیک

مهاجمان میکروتیک، دستگاه‌هایی را تنظیم کرده‌اند که ترافیک شبکه را به تعدادی آدرس آی‌پی تحت کنترل خود منتقل می‌کنند. این مهاجمان با بهره‌برداری از آسیب‌پذیری CVE-2018-14847 که در ماه آوریل وصله شده‌است می‌توانند به دستگاه‌های میکروتیک دسترسی پیدا کنند. اشکال موجود در عنصر مدیریتی Winbox به مهاجم اجازه می‌دهد تا از راه دور احراز هویت را دور زده و فایل‌های دلخواهی را بخواند. مسئله قابل توجه این است که کد اکسپلویت آن به صورت رایگان حداقل در سه منبع زیر قابل دسترسی است. https://github.com/BasuCert/WinboxPoC https://github.com/BigNerd95/WinboxExploit https://n0p.me/winbox-bug-dissection/ از اواسط ماه ژوئیه محققان امنیتی Qihoo 360 Netlab تمرکز خود را بر فعالیت سیستم‌های هانی‌پات با هدف روترهای میکروتیک بیشتر کردند. مشاهدات آنها نشان داد که کمپین Cryptojacking اخیراً بیش از 200 هزار دستگاه آلوده و ترافیک ارسالی از این دستگاه‌های آسیب‌دیده را جمع‌آوری کردند. این گروه تحقیقاتی اعلام کردند که بیش از 7500 روتر میکروتیک در سراسر جهان ترافیک TZSP (TaZmen Sniffer Protocol) خود را به 9 آی‌پی خارجی ارسال می‌کنند. به گفته این محققان، مهاجمان مشخصات بسته‌های (شنود شده) این دستگاه را تغییر داده تا اطلاعات را به موقعیت‌های خود منتقل کنند. تعداد قابل توجهی از دستگاه‌ها ترافیک خود را به آی‌پی 37.1.207.114 منتقل می‌کنند. تحلیل‌های انجام شده نشان می‌دهد مهاجمان بیشتر از ترافیک پورت‌های 20،21،25،110 و 114 مربوط به FTP-data، FTP، SMTP، POP3 و IMAP استفاده می‌کنند. در کنار این‌ها مهاجمان همچنین به ترافیک پورت‌های 161 و 162 پروتکل SNMP علاقه‌مند هستند. بیشترین تعداد دستگاه‌های به خطر افتاده در کشورهای روسیه (به تعداد 1628)، ایران (637)، برزیل (615)، هند (594) و اوکراین (544) هستند. در صورت تماس این کشورها با محققان امنیتی Qihoo 360 Netlab، لیست کامل آی‌پی‌ها را در اختیار آنها قرار خواهند داد. تجزیه و تحلیل این گروه تحقیقاتی حدود 31 درصد از دستگاه‌های میکروتیک آلوده به آسیب‌پذیری CVE-2018-14847 را کشف کرده است. حملات فعلی به دنبال آن هستند که دستگاه‌های میکروتیک را از طریق اسکریپت استخراج ارز مجازی Coinhive مبتنی بر مرورگر آلوده کنند. این حمله با ریدایرکت کردن تنظیمات پراکسی HTTP به یک صفحه خطای ساختگی (جاییکه اسکریپت استخراج را قرار داده‌اند) به هدف خود دست پیدا می‌کند. مهاجمین سعی بر اجرای این استخراج‌کننده بر روی تمام ترافیک پراکسی بر روی دستگاه‌های کاربران دارند. با این حال مهاجمان اشتباهی مرتکب شده‌اند که لیست‌های دسترسی کنترل پراکسی راه‌اندازی کرده‌اند که موجب بلاک شدن تمام منابع وب خارجی از جمله درخواست استخراج آنها می‌شود. بیشترین تعداد روترهای میکروتیک دارای یک پراکسی مخرب Socks4 هستند که اجازه دسترسی از بلوک آدرس 95.154.216.128/25 را فراهم می‌کند. در این مرحله تمام 239 هزار آی‌پی تنها اجازه دسترسی از 95.154.216.128/25 را دارند )در واقع (95.154.216.167. توصیه می‌شود که کاربران میکروتیک آخرین نسخه firmware را بر روی دستگاه خود نصب کنند. همچنین کاربران پراکسی HTTP، پراکسی Sock4 و ویژگی‌های گرفته شده از شبکه را بررسی کنند. توصیه می‌شود مدیران شبکه برای در امان ماندن از این حمله روترهای میکروتیک خود را حتماً به‌روزسانی نمایند.