اخبار

هزاران روتر میکروتیک برای جاسوسی در ترافیک‌های شبکه مورد حمله قرار گرفتند.

ماه گذشته در گزارشی اعلام شد که یک بدافزار ارز دیجیتالی با استفاده از ابزار هک 7 CIA Vault بیش از 200 هزار روتر میکروتیک را آلوده کرده است.

بر اساس گفته پژوهشگران چینی  Qihoo 360 Netlab،  درحال حاضر ۳۷۰ هزار روتر میکروتیک آسیب‌پذیر وجود دارد که از اواسط ماه جولای به بیش از ۷۵۰۰ مورد آنها نفوذ شده ‌است و پراکسی  Socks۴ آنها به ‌صورت مخرب فعال شده‌است. این کار به مهاجمان این امکان را می‌دهد تا روی ترافیک شبکه هدف جاسوسی کنند.

برای نفوذ از نقص امنیتی (CVE-2018-14847) استفاده ‌شده است که مربوط به ویژگی Winbox Any Directory File Read  در روترهای میکروتیک است. این نقص به همراه آسیب ‌پذیری اجرای کد از راه دور Webfig این مسیریاب‌ها، توسط ابزار هک  CIA Vault 7 تحت عنوان Chimay Red  کشف و بهره برداری شده است.

Winbox و Webfig هر دو از مولفه‌های مدیریت سیستم‌عامل روتر هستند که پورت‌های مربوط به آنها TCP/8291 و TCP/80 و TCP/8080 هستند. Winbox برای کاربران ویندوز طراحی شده‌است تا به راحتی روتر را پیکربندی کنند. طبق گفته پژوهشگران، بیش از ۳۷۰ هزار روتر  از ۱،۲ میلیون روتر میکروتیک همچنان پس از ارائه وصله توسط شرکت سازنده، نسبت به آسیب‌پذیری CVE-2018-14847 آسیب‌پذیر هستند.

پژوهشگران Netlab بدافزاری را شناسایی کرده‌اند که از آسیب‌پذیری CVE-2018-14847سوء استفاده می‌کند تا فعالیت‌های مخربی مانند تزریق کد بدافزار مخرب  CoinHive، و فعال‌سازی پراکسی Socks4 به‌صورت مخفیانه و جاسوسی بر روی قربانیان را انجام دهد. مهاجم با فعال‌سازی پراکسی، تمامی درخواست‌های پراکسی روتر را روی یک صفحه خطا HTTP403 هدایت می‌کند که در این صفحه یک لینک برای بدافزار  از طریق CoinHive تزریق می‌شود.
همچنین مهاجم با فعال‌سازی پورت  TCP/4153 و یا Socks4 می‌تواند کنترل دستگاه را حتی پس از راه‌اندازی مجدد به‌دست آورد.

به گفته پژوهشگران، در حال حاضر حدود ۲۳۹ هزار IP گزارش شده است که برای آنهاSocks4  به ‌صورت مخفیانه و با فعالیت‌های مخرب فعال شده‌است.یا از آنجا که دستگاه های MikroTik RouterOS به کاربران این امکان را می‌دهد تا بسته‌های روتر را دریافت کنند و به سرور Stream ‌خصوصی ارسال کنند، مهاجمان می‌توانند ترافیک روترهای آسیب‌ دیده را به IPهای تحت کنترل خودشان ارسال کنند. بهترین روشی که برای جلوگیری از این حملات توصیه شده‌است، اعمال وصله‌های ارائه‌شده، بررسی پراکسی‌های HTTP و Socks 4 و قابلیت‌های دریافت ترافیک شبکه در روتر است.

قربانیان در سراسر کشورهای مختلف جهان از جمله ؛ روسیه، ایران، برزیل، هند، اوکراین، بنگلادش، اندونزی، اکوادور، ایالات متحده، آرژانتین، کلمبیا، هلند، لهستان، کنیا و برخی از کشورهای اروپایی و آسیایی به صورت پراکنده مورد هدف قرار می‌گیرند که در این میان ، روسیه ، بیشترین میزان آسیب پذیری را به خود اختصاص داده است.

Netlab آدرس IP های قربانیان را به دلیل اهداف امنیتی، به طور عمومی منتشر نکرد. اما اعلام کرد که واحدهای امنیتی  مربوطه در کشورهای آسیب دیده می توانند برای دریافت فهرست آدرس IP های آلوده  با شرکت تماس بگیرند.

بهترین روش حفاظت از خود PATCH یا وصله‌های امنیتی است. به شدت به کاربران توصیه می‌شود که سیستم عامل‌های روترهای میکروتیک را به طور مرتب بروز رسانی کنند و دستگاه خود را بررسی کنند که آیا HTTP –  Socks 4 و یا تابع جاسوسی بر روی ترافیک شبکه برای سوء استفاده گری های مخرب وجود دارد یا خیر؟

اگر نظر خاصی در خصوص این مقاله دارید ، لطفاَ در کادر زیر وارد کنید.

بیشتر بخوانید:

نسرین ذاکری
نویسندهنسرین ذاکری

دیدگاهتان را بنویسید