ماه گذشته ما در مورد یک کمپین نرم افزارهای مخرب رمزگشایی گسترده که بیش از 200،000 روتر میکروتیک را با استفاده از یک آسیبپذیری که قبلا در CIA Vault 7 فاش شده بودگزارش دادیم. در حال حاضر محققان امنیتی چینی در Qihoo 360 Netlab متوجه شده اند که از 370،000 روتر MikroTik آسیبپذیر، بیش از 7،500 دستگاه به دلیل سوءاستفاده از پروکسی Socks4 به خطر افتاده اندکه اجازه می داد مهاجمان از اواسط ماه ژوئیه بهطور فعال در ترافیک شبکه هدف استراق سمع کنند.
به خاطر آسیبپذیری، تمامی فایلهای دایرکتوری (CVE-2018-14847) Winbox موجود در روتر های MikroTiK ، همراه با یکی دیگر از آسیبپذیری های کد های از راه دور webfig میکروتیک، توسط ابزار هک CIA Vault به نام Chimay Red خوانده شد. هر دو Winbox و Webfig اجزای مدیریت RouterOS با پورتهای ارتباطی مربوطهی TCP / 8291، TCP / 80 و TCP / 8080 میباشند. Winbox برای کاربران ویندوز بهراحتی پیمایش روترهایی را انجام میدهد که فایلهای DLL را از روتر دانلود میکنند و آنها را بر روی یک سیستم اجرا میکند.
به گفته محققان، بیش از 370،000 از 1.2 میلیون روتر میکروتیک همچنان در معرض سوءاستفاده از CVE-2018-14847 آسیبپذیر هستند، حتی پساز آنکه فروشنده بهروزرسانیهای امنیتی را برای اصلاح خطا انجام داده است. محققان Netlab بدافزاری را که از آسیبپذیری CVE-2018-14847 برای انجام فعالیتهای مختلف مخرب، ازجمله کدگذاری mining CoinHive، خاموش کردن پروکسی Socks4 در روترها و جاسوسی از قربانیان، شناسایی کرده است.
بعد از فعال کردن HTTP Proxy روی روترهای MicroTik، مهاجمان تمام requestهای پروکسی HTTP را به یک صفحه خطای HTTP 403 محلی هدایت میکنند که یک لینک برای web mining code از Coinhive را وارد میکند. محققان توضیح میدهند: با انجام این کار، مهاجم امیدوار است که web mining را برای تمام ترافیک پروکسی در دستگاههای کاربران امتحان کند.
آنچه برای مهاجم ناامیدکننده به نظر میرسد ،این است که minig code به این صورت کار نمیکند، زیرا تمام منابع خارجی وب، ازجمله coinhive.com برای web mining ، توسط ACL های پروکسی که توسط خودشان تعیینشدهاند، مسدود میشوند.
فعال کردن پورت Socks4 یا TCP / 4153 در دستگاه قربانی امکان میدهد تا مهاجم کنترل دستگاه را حتی پس از راهاندازی مجدد (تغییر Ip)به دست بگیرد و بهصورت دورهای آخرین آدرس IP خود را به آدرس مهاجم گزارش میدهد. به گفته محققان، در حال حاضر مجموع 239،000 آدرس آی پی تایید شده است که پروکسی Socks4 بهصورت مخرب روی آنها فعالشده است و درنهایت به مهاجمان امکان میدهد تا دستگاههای MikroTik RouterOS بیشتری را با استفاده از این پروکسی Socks4 اسکن کنند.
از آنجاکه دستگاههای MikroTik RouterOS اجازه میدهد تا کاربران packet ها را روی روترها captureکنند و آنها را به سرور جاری مشخصشده ارسال نمایند، مهاجمان ترافیک را از روتر های به خطر افتاده را به آدرسهای IP کنترلشده توسط خودشان میفرستند.
محققان میگویند: در حال حاضر، مجموع 7500 آدرس آیپی روتر میکروتیک توسط مهاجم به خطر افتاده است و ترافیک TZSP آنها به برخی از آدرسهای IP جمعآوریشده منتقل میشود . همچنین ما متوجه شدیم که پورت SNMP 161 و 162 نیز در صدر لیست قرار دارد. این مطلب سوالاتی را در ذهن ما به وجود میآورد که چرا مهاجم به پروتکل مدیریت شبکه که کاربران معمولی بهندرت از آن استفاده میکنند،توجه بیشتری میکند. آیا آنها در تلاش هستند تا شبکهی snmp برخی از کاربران خاص را نظارت و capture کنند ؟
قربانیان از کشورهای مختلف روسیه، ایران، برزیل، هند، اوکراین، بنگلادش، اندونزی، اکوادور، ایالاتمتحده، آرژانتین، کلمبیا، لهستان، کنیا، عراق و برخی از کشورهای اروپایی و آسیایی هستند و روسیه بیشترین آسیب را به خود اختصاص داده است. Netlab آدرسهای آی پی قربانیان را به دلیل اهداف امنیتی بهطور عمومی به اشتراک نگذاشت، اما گفت که واحدهای امنیتی مربوطه در کشورهای آسیبدیده میتوانند با کمپانی برای گرفتن لیست کامل آدرس IP های آلوده در ارتباط باشند. بهترین روش برای محافظت از خود این است که از PATCH استفاده کنید. به کاربران MikroTik RouterOS بهشدت توصیه میشود که دستگاههای خود را بهروزرسانی نمایند و همچنین بررسی کنید که آیا پروکسی HTTP، پروکسی Socks4 و تابع ضبط شبکه ترافیک سوءاستفاده مخرب است.
- Design
تشکر . واقعا حمله ناجوریه حتما پورتها تون رو عوض کنید.