آسیب‌پذیری روترهای میکروتیک و ادامه سوءاستفاده مهاجمین
آسیب‌پذیری روترهای میکروتیک و ادامه سوءاستفاده مهاجمین تجهیزات ارتباطی شرکت میکروتیک به ویژه روترهای تولید این شرکت در کشور و عموماً در شبکه‌های کوچک و متوسط بسیار مورد استفاده قرار دارند. از ابتدای سال جاری، چندین ‫آسیب‌پذیری حیاتی در این تجهیزات شناسایی و منتشر گردید. اهمیت این آسیب‌پذیری‌ها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور، و دسترسی به محتوای نرافیک عبوری از روتر را فراهم می‌کند. از جمله مخاطرات دسترسی به ترافیک عبوری، می توان به امکان شنود و بررسی ترافیک شبکه قربانی بر روی پروتکل های SMB,HTTP,SMTP,FTP,…اشاره کرده که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان بدست آوردن تمامی رمز های عبور که به صورت متن آشکار در حال تبادل در شبکه قربانی می باشد را فراهم می کند. با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیب‌پذیری آنها، مرکز ماهر از ابتدای سال حداقل ۶ مرتبه اطلاعیه و هشدار جدی عمومی از طریق وب‌سایت و شبکه تعاملی منتشر نموده است.

با رصد انجام شده تعداد دستگاه های فعال میکروتیک در تاریخ ۱۰ مرداد ماه ۱۳۹۷ در کشور برابر با ۶۹،۸۰۵ عدد بوده است. تعداد دستگاه های آسیب پذیر شناسایی شده توسط مرکز ماهر در تاریخ ۱۴ مرداد ۱۳۹۷ تعداد ۱۶،۱۱۴ عدد بوده است که تمامی این ۱۶ هزار دستگاه در معرض نفوذ قرار داشتند. اطلاع رسانی چندین باره مرکز ماهر، درباره ضرورت بروزرسانی و انجام اقدامات لازم جهت جلوگیری و گسترش این تهدید صورت گرفته است. علاوه بر این اقداماتی چون قطع ارتباط از خارج کشور به دستگاه­هایداخل کشور شامل پورت ۸۲۹۱ (winbox) توانست تا حدی مانع افزایش تعداد قربانیان گردد.

با وجود همه‌ی اقدامات صورت گرفته متاسفانه مشاهده شد به دلیل عدم همکاری مالکین این تجهیزات به ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیب‌پذیر می­باشند. بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمین مختلف قرار گرفته است.

در موج اخیر حمله و سوءاستفاده از تجهیزات آسیب‌پذیر میکروتیک، مهاجمین با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهره‌برداری می‌کنند، این حملات اصطلاحاً CryptoJackingنام دارد.

با رسانه ای شدن خبر آلودگی بیش از ۷۰ هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیب پذیری های دستگاه­های میکروتیک اینبار با هدف بهره برداری ارزکاوی آغاز شد. هم‌زمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور نمود که در اولین مشاهدات تعداد ۱۵۷ دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد. برای جلوگیری از افزایش خسارات ناشی از این حملات، مرکز ماهر اقدام به انتشار چندین اطلاعیه و ارایه راهکاری های کنترلی نمود. اما به دلیل عدم توجه کافی به هشدارها و اطلاعیه های مرکز ماهر و توجه نشان دادن هکر ها به این نوع حملات و همچنین آلوده سازی دستگاه­ها توسط فرآیند خودکار شاهد افزایش روز افزون تعداد دستگاه­های آلوده شده در کشور هستیم. روند صعودی این حمله در نمودار زیر نمایش داده شده است. همانطور که در بخش هایی از نمودار مشاهده می شود، در روزهای اخیر این روند صعودی تسریع شده و به صورت ساعتی در حال افزایش تعداد قربانیان می باشد.
تا لحظه نگارش این گزارش بیش از ۱۷،۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است.در حال حاضر از منظر آلودگی روترهای میکروتیک به بدافزار برداشت رمز ارز، ‌ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست. بررسی های کارشناسان مرکز ماهر حاکی از این نکته است که منشاء حملات این ۱۷،۴۵۲ دستگاه حداکثر ۲۴ مهاجم می باشند.

نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمین و سرقت رمز عبور و اخذ دسترسی،‌ حتی بعد از بروزرسانی firmwareنیز همچنان در کنترل مهاجمین قرار دارند. شرکت‌های بزرگ و کوچک ارائه خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند.

دستورالعمل پاکسازی دستگاه‌های آلوده

با درنظر گرفتن این شرایط، لازم است به منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیب‌پذیری مجدد، اقدامات زیر صورت پذیرد:

    قطع ارتباط روتر از شبکه
    بازگردانی به تنظیمات کارخانه‌ای (Factory reset)
    بروزرسانی firmwareبه آخرین نسخه منتشر شده توسط شرکت میکروتیک
    تنظیم مجدد روتر
    غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی صرفاً از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPNانجام گردد)
    با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستم‌های تحت کنترل خود تغییر دهید.

درصورتی که راه‌اندازی و تنظیم مجدد امکان پذیر نیست، می توان مراحل زیر را جهت پاکسازی روتر اجرا نمود. با این وجود همچنان روش فوق توصیه می‌گردد:

    اعمال آخرین نسخه بروزرسانی بر روی دستگاه های میکروتیک[1]
    بررسی گروه های کاربری و حساب های دسترسی موجود
    تغییر رمز عبور حساب های موجود و حذف نام های کاربری اضافی و بدون کاربرد
    بررسی فایل های webproxy/error.htmlو flash/webproxy/error.html
        حذف اسکریپت ارزکاوی(coinhive) از فایل
        حذف هر گونه تگ اسکریپت اضافه فراخوانی شده در این فایل ها
    حذف تمامی Scheduler Taskهای مشکوک
    حذف تمامی اسکریپت های مشکوک در مسیر System/Script
    حذف تمامی فایل های مشکوک در مسیر فایل سیستم و پوشه های موجود
    بررسی تنظیمات بخش فایروال و حذف Ruleهای اضافی و مشکوک
    اضافه کردن Ruleهایی برای اعمال محدودیت دسترسی از شبکه های غیرمجاز
    بررسی جدول NATو حذف قوانین اضافی و مشکوک
    غیرفعال کردن دسترسی Webو Telnet
    محدود کردن دسترسی های مجاز به Winbox
    غیرفعال کردن دسترسی به پورت های مدیریتی از خارج شبکه داخلی
    بررسی تنظیمات بخش Snifferو غیرفعال کردن Captureو Streamingدر صورت عدم استفاده
    غیرفعال کردن تنظیمات web proxyدر صورت عدم استفاده
    غیرفعال کردن تنظیمات Socksدر صورت عدم استفاده

در ادامه به اطلاع می‌رساند فهرست کلیه تجهیزات آلوده‌ی شناسایی شده به تفکیک شرکت‌ها و سازمان‌های مالک، به سازمان تنظیم مقررات رادیویی ارسال شده و تبعا درصورت عدم اقدام این شرکت‌ها در راستای پاکسازی و رفع آسیب‌پذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.
نام:*
ایمیل:


جستجو در سایت
استارت آپ ها

ایده ها برای استارت آپ موجب رونق کسب و کارهای اینترنتی

آینده / استارت آپ

استارت‌آپ‌ها ادبیات بازار سرمایه را بلدند؟

استارت آپ

صدور تاییدیه دانش بنیانی شتابدهنده صدر فردا

اخبار / استارت آپ

اپلیکیشن شارژاپ

گوناگون / استارت آپ / رپرتاژ آگهی / بازتاب

جذاب‌ترین ایده‌های B2B در سال 2020

استارت آپ

۱۰ استارتاپ که بدون سرمایه به سوددهی رسیدند

استارت آپ

ایده ها و پیشنهاد برای استارت آپ در سال جدید

راهکارها و ترفند ها / استارت آپ

استارت‌آپ ایرانی؛ مرجع اول زنان افغان

استارت آپ

شروع یک کسب و کار نوپا پلتفرمی

استارت آپ

برنامه شبکه اجتماعی تیندر

گوناگون / معرفی وب سایت / استارت آپ

10 استارت آپ برتر تاکسیرانی جهان

استارت آپ

پخت پیتزاهای هیجان انگیز با هوش مصنوعی

آینده / استارت آپ

ایده‌ های استارتاپی فراموش شده‌

دورنما / بازار / استارت آپ

اپل، استارتاپ فناوری خودران Drive.ai را تصاحب کرد

استارت آپ

بررسی مهمترین چالش‌های تیم‌های استارتاپی

استارت آپ

نگرانی کاربران از هزینه تعمیر و تامین قطعات

گفت و گو / بازار / استارت آپ

مصاحبه با مدیرعامل و بنیان‌گذار استارتاپ Moz

گفت و گو / استارت آپ

آشنایی با استارت آپ های حوزه مدیریت آب

استارت آپ

راه اندازی ۷۰ استارت آپ توسط نخبگان ایرانی

استارت آپ

معرفی هشت استارت‌آپ‌ موفق ایرانی در حوزه فینتک

استارت آپ

اولین مرورگر شرعی دنیا

استارت آپ

از صفر تا پیست

استارت آپ

معرفی برترین استارتاپ‌های CES 2019

اخبار / استارت آپ

تبلیغات
درباره ما

مجله اینترنتی دیپروتد نشریه مجازی بر بستر اینترنت به مسائل آموزشی و مقالات پیرامون کسب وکار های نوپا یا استارت آپ ها و سبک زندگی است فعالیت و محتوای مطالب ارائه شده در سایت همه بیشتر در حوزه مدیریت، کارآفرینی ، روانشناسی ،اقتصادی و فناوری اطلاعات است نام اصلی دیپروتد "ریشه های عمیق " با مجوز رسمی از هیات نظارت برمطبوعات مشغول به فعالیت است

ما را در شبکه های اجتماعی دنبال کنید