اخبار

مهاجمان از هزاران روتر میکروتیک وصله نشده ترافیک را به آی‌پی‌های تحت کنترل مهاجم ناشناخته ارسال می‌کنند

از ماه ژوئیه هانی‌پات‌های موسسه Netlab 360 سوءاستفاده از روترهای میکروتیک را مشاهده کرده‌اند. در این حمله، مهاجمان با سوءاستفاده از آسیب‌پذیری CVE-2018-14847 که در ماه آوریل برای روتر‌های میکروتیک وصله شده بود، ترافیک ارسالی و دریافتی در شبکه را به ۹ آی‌پی تحت کنترل مهاجمان ناشناخته ارسال می‌کند. بر اساس همین تحقیقات لیست ۱۰ کشور که روترهای میکروتیک آن‌ها بیشترین آسیب‌پذیری را دارند به ترتیب عبارت‌اند از:

  • ۱۶۲۸ مسیریاب در روسیه
  • ۶۳۷ مسیریاب در ایران

  • ۶۱۵ مسیریاب در برزیل
  • ۵۹۴ مسیریاب در هند
  • ۵۴۴ مسیریاب در اوکراین
  • ۳۷۵ مسیریاب در بنگلادش
  • ۳۶۴ مسیریاب در اندونزی
  • ۲۱۸ مسیریاب در اکوادور
  • ۱۹۱ مسیریاب در ایالات‌متحده
  • ۱۸۹ مسیریاب در آرژانتین

همانطور که ملاحظه می‌کنید، ایران در این رده‌بندی در جایگاه دوم قرار دارد. از اینرو اکیدا توصیه می‌شود صاحبان شرکت‌ها و مدیران فناوری اطلاعات سازمان‌ها سیستم‌عامل مسیریاب‌های میکروتیک  خود را به آخرین نسخه بروزرسانی نمایند.

اکیداً توصیه می‌شود صاحبان شرکت‌ها و مدیران فناوری اطلاعات سازمان‌ها سیستم‌عامل مسیریاب‌های میکروتیک  خود را به آخرین نسخه بروزرسانی نمایند.

بر طبق اسناد ویکی لیکس ابزار هک CIA (سازمان جاسوسی آمریکا) که شامل دو اکسپلویت برای سوءاستفاده از آسیب‌پذیری CVE-2018-14847 در WinBox می‌باشد این امکان را به مهاجم می‌دهد تا احراز هویت نرم‌افزار Winbox (نرم‌افزاری گرافیکی برای مدیریت مسیریابهای میکروتیک) را دور زده و دستور دلخواه خود را بر روی دستگاه قربانی اجرا کنند.

فهرست آدرس آی‌پی مهاجمان که توسط هانی‌پات شرکت Netlab رصد و ثبت شده‌اند به ترتیب عبارت‌اند از:

آدرس آی‌پی تعداد حمله کشور
۳۷.۱.۲۰۷.۱۱۴ ۵۱۶۴ هلند
۱۸۵.۶۹.۱۵۵.۲۳ ۱۳۴۷ اکراین
۱۸۸.۱۲۷.۲۵۱.۶۱ ۱۱۵۵ روسیه
۵.۹.۱۸۳.۶۹ ۴۲۰ آلمان
۷۷.۲۲۲.۵۴.۴۵ ۱۲۳ روسیه
۱۰۳.۱۹۳.۱۳۷.۲۱۱ ۱۲۳ ایالات‌متحده
۲۴.۲۵۵.۳۷.۱ ۷۹ ایالات‌متحده
۴۵.۷۶.۸۸.۴۳ ۲۶ آلمان
۲۰۶.۲۵۵.۳۷.۱ ۱۶ ایالات‌متحده

 

دو مورد از عملیات مخرب که با سوءاستفاده از این آسیب‌پذیری در دستگاه‌های قربانی انجام گرفته عبارت‌اند از:

  • استراق سمع: مسیریاب‌های میکروتیک به کاربران اجازه می دهند تا ترافیک شبکه را به سرور مشخص شده‌ای منتقل می کنند. به کمک این امکان مهاجم با تغییر تنظیمات سیستم‌عامل مسیریاب، ترافیک شبکه را به مقصد مشخصی ارسال می‌کند. در بین آی‌پی‌های کشف شده از مهاجمان آدرس ۳۷.۱.۲۰۷.۱۱۴ بیشترین دریافت ترافیک از مسیریابهای قربانی را داشت.
  • تزریق کد استخراج کننده CoinHive: در این حمله مهاجم با فعال کردن HTTPProxy بر روری مسیریاب میکروتیک تمام درخواست‌های HTTPProxy را به صفحه خطای ۴۰۳ محلی منتقل می‌کند که در این صفحه یک لینک استخراج ارز دیجیتال مونرو به کمک CoinHive.com قرار داده شده است. CoinHive یک بسته استخراج‌کننده ارز دیجیتال مونرو مبتنی بر وب است.

سریعا MiktoTik Router OS را به‌روزرسانی کنید.

توصیه می شود:

  • سریعا MiktoTik Router OS را به‌روزرسانی کنید.
  • آدرس های IP فوق الذکر را با تنظیم دیوار آتش مسدود نمایید.
  • دسترسی از روی اینترنت (از بیرون) به پورت های Webfig و Winbox را مسدود نمایید.
مهاجمان از هزاران روتر میکروتیک وصله نشده ترافیک را به آی‌پی‌های تحت کنترل مهاجم ناشناخته ارسال می‌کنند

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top