هزاران روتر میکروتیک برای استراق سمع هک شدند

ماه گذشته ما در مورد یک کمپین نرم افزارهای مخرب رمزگشایی گسترده که بیش از 200،000 روتر میکروتیک را با استفاده از یک آسیب‌پذیری که قبلا در CIA Vault 7 فاش شده بودگزارش دادیم. در حال حاضر محققان امنیتی چینی در Qihoo 360 Netlab متوجه شده اند که از 370،000 روتر MikroTik آسیب‌پذیر، بیش از 7،500 دستگاه به دلیل سوءاستفاده از پروکسی Socks4 به خطر افتاده اندکه اجازه می داد مهاجمان از اواسط ماه ژوئیه به‌طور فعال در ترافیک شبکه هدف استراق سمع کنند.

به خاطر آسیب‌پذیری، تمامی فایل‌های دایرکتوری (CVE-2018-14847) Winbox موجود در روتر های MikroTiK ، همراه با یکی دیگر از آسیب‌پذیری های کد های از راه دور webfig میکروتیک، توسط ابزار هک CIA Vault به نام Chimay Red خوانده شد. هر دو Winbox و Webfig اجزای مدیریت RouterOS با پورت‌های ارتباطی مربوطه‌ی TCP / 8291، TCP / 80 و TCP / 8080 می‌باشند. Winbox برای کاربران ویندوز به‌راحتی پیمایش روترهایی را انجام می‌دهد که فایل‌های DLL را از روتر دانلود می‌کنند و آن‌ها را بر روی یک سیستم اجرا می‌کند.

به گفته محققان، بیش از 370،000 از 1.2 میلیون روتر میکروتیک همچنان در معرض سوءاستفاده از CVE-2018-14847 آسیب‌پذیر هستند، حتی پس‌از آنکه فروشنده به‌روزرسانی‌های امنیتی را برای اصلاح خطا انجام داده است. محققان Netlab بدافزاری را که از آسیب‌پذیری CVE-2018-14847 برای انجام فعالیت‌های مختلف مخرب، ازجمله کدگذاری mining CoinHive، خاموش کردن پروکسی Socks4 در روترها و جاسوسی از قربانیان، شناسایی کرده است.
بعد از فعال کردن HTTP Proxy روی روترهای MicroTik، مهاجمان تمام requestهای پروکسی HTTP را به یک صفحه خطای HTTP 403 محلی هدایت می‌کنند که یک لینک برای web mining code از Coinhive را وارد می‌کند. محققان توضیح می‌دهند: با انجام این کار، مهاجم امیدوار است که web mining را برای تمام ترافیک پروکسی در دستگاه‌های کاربران امتحان کند.

آنچه برای مهاجم ناامیدکننده به نظر می‌رسد ،این است که minig code به این صورت کار نمی‌کند، زیرا تمام منابع خارجی وب، ازجمله coinhive.com برای web mining ، توسط ACL های پروکسی که توسط خودشان تعیین‌شده‌اند، مسدود می‌شوند.

هزاران روتر میکروتیک برای استراق سمع هک شدند

فعال کردن پورت Socks4 یا TCP / 4153 در دستگاه قربانی امکان می‌دهد تا مهاجم کنترل دستگاه را حتی پس از راه‌اندازی مجدد (تغییر Ip)به دست بگیرد و به‌صورت دوره‌ای آخرین آدرس IP خود را به آدرس مهاجم گزارش می‌دهد. به گفته محققان، در حال حاضر مجموع 239،000 آدرس آی پی تایید شده است که پروکسی Socks4 به‌صورت مخرب روی آن‌ها فعال‌شده است و درنهایت به مهاجمان امکان می‌دهد تا دستگاه‌های MikroTik RouterOS بیشتری را با استفاده از این پروکسی Socks4 اسکن کنند.

از آنجاکه دستگاه‌های MikroTik RouterOS اجازه می‌دهد تا کاربران packet ها را روی روترها captureکنند و آن‌ها را به سرور جاری مشخص‌شده ارسال نمایند، مهاجمان ترافیک را از روتر های به خطر افتاده را به آدرس‌های IP کنترل‌شده توسط خودشان می‌فرستند.

محققان می‌گویند: در حال حاضر، مجموع 7500 آدرس آی‌پی روتر میکروتیک توسط مهاجم به خطر افتاده است و ترافیک TZSP آن‌ها به برخی از آدرس‌های IP جمع‌آوری‌شده منتقل می‌شود . هم‌چنین ما متوجه شدیم که پورت SNMP 161 و 162 نیز در صدر لیست قرار دارد. این مطلب سوالاتی را در ذهن ما به وجود می‌آورد که چرا مهاجم به پروتکل مدیریت شبکه که کاربران معمولی به‌ندرت از آن استفاده می‌کنند،توجه بیشتری می‌کند. آیا آن‌ها در تلاش هستند تا شبکه‌ی snmp برخی از کاربران خاص را نظارت و capture کنند ؟

قربانیان از کشورهای مختلف روسیه، ایران، برزیل، هند، اوکراین، بنگلادش، اندونزی، اکوادور، ایالات‌متحده، آرژانتین، کلمبیا، لهستان، کنیا، عراق و برخی از کشورهای اروپایی و آسیایی هستند و روسیه بیشترین آسیب را به خود اختصاص داده است. Netlab آدرس‌های آی پی قربانیان را به دلیل اهداف امنیتی به‌طور عمومی به اشتراک نگذاشت، اما گفت که واحدهای امنیتی مربوطه در کشورهای آسیب‌دیده می‌توانند با کمپانی برای گرفتن لیست کامل آدرس IP های آلوده در ارتباط باشند. بهترین روش برای محافظت از خود این است که از PATCH استفاده کنید. به کاربران MikroTik RouterOS به‌شدت توصیه می‌شود که دستگاه‌های خود را به‌روزرسانی نمایند و همچنین بررسی کنید که آیا پروکسی HTTP، پروکسی Socks4 و تابع ضبط شبکه ترافیک سوءاستفاده مخرب است.

90%
Awesome
  • Design
دیدگاه 1
  1. ارسلان says

    تشکر . واقعا حمله ناجوریه حتما پورتها تون رو عوض کنید.

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.