از ماه ژوئیه هانیپاتهای موسسه Netlab 360 سوءاستفاده از روترهای میکروتیک را مشاهده کردهاند. در این حمله، مهاجمان با سوءاستفاده از آسیبپذیری CVE-2018-14847 که در ماه آوریل برای روترهای میکروتیک وصله شده بود، ترافیک ارسالی و دریافتی در شبکه را به ۹ آیپی تحت کنترل مهاجمان ناشناخته ارسال میکند. بر اساس همین تحقیقات لیست ۱۰ کشور که روترهای میکروتیک آنها بیشترین آسیبپذیری را دارند به ترتیب عبارتاند از:
- ۱۶۲۸ مسیریاب در روسیه
۶۳۷ مسیریاب در ایران
- ۶۱۵ مسیریاب در برزیل
- ۵۹۴ مسیریاب در هند
- ۵۴۴ مسیریاب در اوکراین
- ۳۷۵ مسیریاب در بنگلادش
- ۳۶۴ مسیریاب در اندونزی
- ۲۱۸ مسیریاب در اکوادور
- ۱۹۱ مسیریاب در ایالاتمتحده
- ۱۸۹ مسیریاب در آرژانتین
همانطور که ملاحظه میکنید، ایران در این ردهبندی در جایگاه دوم قرار دارد. از اینرو اکیدا توصیه میشود صاحبان شرکتها و مدیران فناوری اطلاعات سازمانها سیستمعامل مسیریابهای میکروتیک خود را به آخرین نسخه بروزرسانی نمایند.
اکیداً توصیه میشود صاحبان شرکتها و مدیران فناوری اطلاعات سازمانها سیستمعامل مسیریابهای میکروتیک خود را به آخرین نسخه بروزرسانی نمایند.
بر طبق اسناد ویکی لیکس ابزار هک CIA (سازمان جاسوسی آمریکا) که شامل دو اکسپلویت برای سوءاستفاده از آسیبپذیری CVE-2018-14847 در WinBox میباشد این امکان را به مهاجم میدهد تا احراز هویت نرمافزار Winbox (نرمافزاری گرافیکی برای مدیریت مسیریابهای میکروتیک) را دور زده و دستور دلخواه خود را بر روی دستگاه قربانی اجرا کنند.
فهرست آدرس آیپی مهاجمان که توسط هانیپات شرکت Netlab رصد و ثبت شدهاند به ترتیب عبارتاند از:
آدرس آیپی | تعداد حمله | کشور |
۳۷.۱.۲۰۷.۱۱۴ | ۵۱۶۴ | هلند |
۱۸۵.۶۹.۱۵۵.۲۳ | ۱۳۴۷ | اکراین |
۱۸۸.۱۲۷.۲۵۱.۶۱ | ۱۱۵۵ | روسیه |
۵.۹.۱۸۳.۶۹ | ۴۲۰ | آلمان |
۷۷.۲۲۲.۵۴.۴۵ | ۱۲۳ | روسیه |
۱۰۳.۱۹۳.۱۳۷.۲۱۱ | ۱۲۳ | ایالاتمتحده |
۲۴.۲۵۵.۳۷.۱ | ۷۹ | ایالاتمتحده |
۴۵.۷۶.۸۸.۴۳ | ۲۶ | آلمان |
۲۰۶.۲۵۵.۳۷.۱ | ۱۶ | ایالاتمتحده |
دو مورد از عملیات مخرب که با سوءاستفاده از این آسیبپذیری در دستگاههای قربانی انجام گرفته عبارتاند از:
- استراق سمع: مسیریابهای میکروتیک به کاربران اجازه می دهند تا ترافیک شبکه را به سرور مشخص شدهای منتقل می کنند. به کمک این امکان مهاجم با تغییر تنظیمات سیستمعامل مسیریاب، ترافیک شبکه را به مقصد مشخصی ارسال میکند. در بین آیپیهای کشف شده از مهاجمان آدرس ۳۷.۱.۲۰۷.۱۱۴ بیشترین دریافت ترافیک از مسیریابهای قربانی را داشت.
- تزریق کد استخراج کننده CoinHive: در این حمله مهاجم با فعال کردن HTTPProxy بر روری مسیریاب میکروتیک تمام درخواستهای HTTPProxy را به صفحه خطای ۴۰۳ محلی منتقل میکند که در این صفحه یک لینک استخراج ارز دیجیتال مونرو به کمک CoinHive.com قرار داده شده است. CoinHive یک بسته استخراجکننده ارز دیجیتال مونرو مبتنی بر وب است.
سریعا MiktoTik Router OS را بهروزرسانی کنید.
توصیه می شود:
- سریعا MiktoTik Router OS را بهروزرسانی کنید.
- آدرس های IP فوق الذکر را با تنظیم دیوار آتش مسدود نمایید.
- دسترسی از روی اینترنت (از بیرون) به پورت های Webfig و Winbox را مسدود نمایید.
