هک هزاران روتر میکروتیک و شنود ترافیک شبکه!
ماه گذشته خبر از آلودگی بیش از ۲۰۰،۰۰۰ روتر میکروتیک توسط بدافزار crypto Mining داده شد، که به منظور نصب مخفیانه استخراجکننده ارز دیجیتال بر روی کامپیوترهای متصل به آنها، مورد اکسپلویت قرار گرفته بودند.
اکنون محققان چینی دریافتهاند که از ۳۷۰،۰۰۰ روتر میکروتیک آسیبپذیر، بیش از ۷،۵۰۰ دستگاه تسخیر شده و پراکسی Socks4 بر روی آنها فعال شده است، این عمل امکان شنود ترافیک شبکهی مورد هدف را تقریباً از اواسط ماه جولای برای مهاجمان فراهم نموده است.
در این مورد، Winbox Any Directory File Read (با شناسه CVE-2018-14847) و نیز آسیبپذیری اجرای کد از راه دور MikroTik's Webfig در روترهای میکروتیک، توسط ابزار هک CIA Vault 7 به نام Chimay Red مورد سوءاستفاده قرار گرفتند.
Winbox و Webfig هر دو ابزارهای مدیریت RouterOS، با پورتهای ارتباطی TCP/8291، TCP/80 و TCP/8080 میباشند. Winbox برای کاربران ویندوزی طراحی شده است تا بتوانند به راحتی روترهایی را که فایلهای DLL را دانلود نموده و آنها را بر روی سیستم اجرا میکنند، پیکربندی نمایند.
به گفته محققان، حتی پس از ارائه به روز رسانیها و وصلههای امنیتی توسط عرضهکنندگان، هنوز بیش از ۳۷۰,۰۰۰ از ۱.۲ میلیون روتر میکروتیک در مقابل آسیبپذیری CVE-2018-14847 آسیبپذیر هستند.
محققان Netlab بدافزاری شناسایی نمودهاند که از آسیبپذیری CVE-2018-14847 برای انجام فعالیتهای مخربی مانند استخراج ارز CoinHive، تزریق کد، فعال نمودن پراکسی Socks4 بر روی روترها به صورت مخفیانه و جاسوسی از قربانیان سوءاستفاده میکند.
CoinHive Mining Code Injection_ پس از فعالسازی پراکسی HTTP مربوط به RouterOS میکروتیک، مهاجمان تمامی درخواستهای پراکسی HTTP را به یک صفحه خطای HTTP 403 محلی هدایت میکنند که در آن لینکی برای کد استخراج ارز دیجیتال از Coinhive گنجانده شده است.
Maliciously Enabling Sock4 Proxy_ فعالسازی پورت Socks4 یا TCP/4153 بر روی سیستم قربانی به صورت مخفیانه، مهاجم را قادر میسازد که از طریق گزارش دورهای آخرین آدرس IP خود به URL مهاجم، حتی پس از راهاندازی مجدد (تغییر آدرس IP) کنترل کامل دستگاه را در دست داشته باشد.
به گفته محققان، در حال حاضر پراکسی Socks4 برای ۲۳۹,۰۰۰ آدرس IP به صورت مخرب فعال شده است، که منجر به اسکن مداوم دستگاههای MikroTik RouterOS با استفاده از پراکسی Socks4 توسط مهاجمان میگردد.
Eavesdropping on Victims_ از آنجا که دستگاههای MikroTik RouterOS به کاربران اجازه میدهند پکتهای روتر را گرفته و آنها را به یک سرور مشخص شده بفرستند، مهاجمان نیز از این ویژگی استفاده نموده و ترافیک را از روترهای تسخیر شده به آدرسهای IP تحت کنترل خود میفرستند.
قربانیان این حمله از کشورهای مختلفی مانند روسیه، ایران، برزیل، هند، اوکراین، بنگلادش، اندونزی، اکوادور، ایلات متحده، آرژانتین، کلمبیا، هلند، کنیا، عراق و برخی از کشورهای اروپایی و آسیایی هستند، که در این میان روسیه بیشترین آمار خسارت را به خود اختصاص داده است.
Netlab به دلایل امنیتی آدرسهای IP قربانیان را به صورت عمومی منتشر ننموده است، اما اعلام نموده که واحدهای امنیتی مربوطه در کشورهای تحت تأثیر قرار گرفته میتوانند با شرکت تماس گرفته و لیست کامل آدرس IPهای آلوده را دریافت نمایند.
بهترین شیوهی محافظت از خود اعمال پچهای امنیتی میباشد. اکیداً به کاربران MikroTik RouterOS توصیه میگردد که دستگاههای خود را آپدیت نموده و همچنین پراکسی HTTP، پراکسی Socks4 و نیز تابع ضبط ترافیک شبکه را بررسی نمایند که به صورت مخرب مورد سوءاستفاده قرار نگرفته باشند.
منبع خبر: https://thehackernews.com/2018/09/mikrotik-router-hacking.html
