بر اساس گفته پژوهشگران چینی Qihoo 360 Netlab، درحال حاضر ۳۷۰ هزار روتر میکروتیک آسیبپذیر وجود دارد که از اواسط ماه جولای به بیش از ۷۵۰۰ مورد آنها نفوذ شده است و پراکسی Socks۴ آنها به صورت مخرب فعال شدهاست. این کار به مهاجمان این امکان را میدهد تا روی ترافیک شبکه هدف جاسوسی کنند.
برای نفوذ از نقص امنیتی (CVE-2018-14847) استفاده شده است که مربوط به ویژگی Winbox Any Directory File Read در روترهای میکروتیک است. این نقص به همراه آسیب پذیری اجرای کد از راه دور Webfig این مسیریابها، توسط ابزار هک CIA Vault 7 تحت عنوان Chimay Red کشف و بهره برداری شده است.
Winbox و Webfig هر دو از مولفههای مدیریت سیستمعامل روتر هستند که پورتهای مربوط به آنها TCP/8291 و TCP/80 و TCP/8080 هستند. Winbox برای کاربران ویندوز طراحی شدهاست تا به راحتی روتر را پیکربندی کنند. طبق گفته پژوهشگران، بیش از ۳۷۰ هزار روتر از ۱،۲ میلیون روتر میکروتیک همچنان پس از ارائه وصله توسط شرکت سازنده، نسبت به آسیبپذیری CVE-2018-14847 آسیبپذیر هستند.
پژوهشگران Netlab بدافزاری را شناسایی کردهاند که از آسیبپذیری CVE-2018-14847سوء استفاده میکند تا فعالیتهای مخربی مانند تزریق کد بدافزار مخرب CoinHive، و فعالسازی پراکسی Socks4 بهصورت مخفیانه و جاسوسی بر روی قربانیان را انجام دهد. مهاجم با فعالسازی پراکسی، تمامی درخواستهای پراکسی روتر را روی یک صفحه خطا HTTP403 هدایت میکند که در این صفحه یک لینک برای بدافزار از طریق CoinHive تزریق میشود.
همچنین مهاجم با فعالسازی پورت TCP/4153 و یا Socks4 میتواند کنترل دستگاه را حتی پس از راهاندازی مجدد بهدست آورد.
به گفته پژوهشگران، در حال حاضر حدود ۲۳۹ هزار IP گزارش شده است که برای آنهاSocks4 به صورت مخفیانه و با فعالیتهای مخرب فعال شدهاست.یا از آنجا که دستگاه های MikroTik RouterOS به کاربران این امکان را میدهد تا بستههای روتر را دریافت کنند و به سرور Stream خصوصی ارسال کنند، مهاجمان میتوانند ترافیک روترهای آسیب دیده را به IPهای تحت کنترل خودشان ارسال کنند. بهترین روشی که برای جلوگیری از این حملات توصیه شدهاست، اعمال وصلههای ارائهشده، بررسی پراکسیهای HTTP و Socks 4 و قابلیتهای دریافت ترافیک شبکه در روتر است.
قربانیان در سراسر کشورهای مختلف جهان از جمله ؛ روسیه، ایران، برزیل، هند، اوکراین، بنگلادش، اندونزی، اکوادور، ایالات متحده، آرژانتین، کلمبیا، هلند، لهستان، کنیا و برخی از کشورهای اروپایی و آسیایی به صورت پراکنده مورد هدف قرار میگیرند که در این میان ، روسیه ، بیشترین میزان آسیب پذیری را به خود اختصاص داده است.
Netlab آدرس IP های قربانیان را به دلیل اهداف امنیتی، به طور عمومی منتشر نکرد. اما اعلام کرد که واحدهای امنیتی مربوطه در کشورهای آسیب دیده می توانند برای دریافت فهرست آدرس IP های آلوده با شرکت تماس بگیرند.
بهترین روش حفاظت از خود PATCH یا وصلههای امنیتی است. به شدت به کاربران توصیه میشود که سیستم عاملهای روترهای میکروتیک را به طور مرتب بروز رسانی کنند و دستگاه خود را بررسی کنند که آیا HTTP – Socks 4 و یا تابع جاسوسی بر روی ترافیک شبکه برای سوء استفاده گری های مخرب وجود دارد یا خیر؟
اگر نظر خاصی در خصوص این مقاله دارید ، لطفاَ در کادر زیر وارد کنید.
