آسیب پذیری هک از راه دور 300000 دستگاه MikroTik

اخبار داغ فناوری اطلاعات و امنیت شبکه

 takian.ir over 300000 mikrotik devices found vulnerable to remote hacking bugs 1

حداقل ۳۰۰۰۰۰ آدرس IP مرتبط با دستگاه‌های MikroTik در برابر چندین آسیب‌پذیری امنیتی قابل بهره‌برداری از راه دور، که از آن زمان که توسط تأمین‌کننده محبوب روتر‌ها و دستگاه‌های ISP وایرلس پچ شده‌اند، همچنان آسیب‌پذیر هستند.

شرکت امنیت سایبری Eclypsium در گزارشی که با هکرنیوز به اشتراک گذاشته شده است، اعلام کرد که بیشترین دستگاه‌های آسیب دیده در چین، برزیل، روسیه، ایتالیا، اندونزی و نهایتاً در رتبه هشتم، ایالات متحده قرار دارند.

محققان خاطرنشان کردند: «این دستگاه‌ها هم قدرتمند و هم اغلب بسیار آسیب‌پذیر هستند. این امر باعث شده است که دستگاه‌های MikroTik در میان عوامل تهدید که دستگاه‌ها را برای همه چیز از جمله حملات DDoS، command-and-control (C2)، تونلینگ ترافیک و موارد دیگر مورد استفاده قرار می‌دهند، در صدر علاقمندی‌هایشان قرار بگیرد».

دستگاه‌های MikroTik یک هدف فریبنده هستند، نه تنها به این دلیل که بیش از دو میلیون دستگاه از آن‌ها در سرتاسر جهان مستقر هستند که می‌توانند یک سطح حمله بزرگ را ایجاد کنند، بلکه می‌تواند توسط عوامل تهدید برای اعمال مجموعه‌ای از نفوذ‌ها مورد استفاده قرار گیرند.

در واقع، در اوایل سپتامبر سال ۲۰۲۱، گزارش‌هایی مبنی بر بات‌نت جدیدی به نام Mēris منتشر شد که با استفاده از دستگاه‌های شبکه Mikrotik به‌عنوان مسیر حمله با بهره‌برداری از یک حمله رکوردشکن distributed denial-of-service، (DDoS) علیه شرکت اینترنتی روسی Yandex انجام داد. ظاهراً این آسیب‌پذیری امنیتی در سیستم عامل‌ها (CVE-۲۰۱۸-۱۴۸۴۷) برطرف شده است.
takian.ir over 300000 mikrotik devices found vulnerable to remote hacking bugs 2
این اولین بار نیست که روتر‌های MikroTik در حملات واقعی مورد هجمه قرار می‌گیرند. در سال ۲۰۱۸، شرکت امنیت سایبری Trustwave حداقل سه کمپین بدافزار عظیم را کشف کرد که از صد‌ها هزار روتر MikroTik پچ‌ نشده برای نصب مخفیانه ماینر‌های ارز‌های دیجیتال بر روی رایانه‌های متصل به آن‌ها سواستفاده می‌کرد. در همان سال، Netlab ۳۶۰ کشور چین گزارش داد که هزاران روتر آسیب‌پذیر MikroTik با استفاده از CVE-۲۰۱۸-۱۴۸۴۷ برای استراق سمع ترافیک شبکه، به‌طور مخفیانه در یک بات‌نت گردآوری شده‌اند.

آسیب‌پذیری CVE-۲۰۱۸-۱۴۸۴۷ نیز یکی از چهار آسیب‌پذیری رفع نشده است که طی سه سال گذشته کشف شده و می‌تواند کنترل کامل دستگاه‌های MikroTik را امکان‌پذیر کند.
آسیب‌پذیری CVE-۲۰۱۹-۳۹۷۷ (امتیاز CVSS: ۷. ۵) - در MikroTik RouterOS، اعتبارسنجی ناکافی مبدا پکیج آپگرید شده، امکان ریست کردن همه نام‌های کاربری و گذرواژه‌ها را فراهم می‌کند.
آسیب‌پذیری CVE-۲۰۱۹-۳۹۷۸ (امتیاز CVSS: ۷. ۵) - محافظت ناکافی MikroTik RouterOS از یک ریسورس حیاتی، منجر به آلوده شدن حافظه کش می‌شود.
آسیب‌پذیری CVE-۲۰۱۸-۱۴۸۴۷ (امتیاز CVSS: ۹. ۱) - آسیب‌پذیری پیمایش دایرکتوری MikroTik RouterOS در اینترفیس WinBox
آسیب‌پذیری CVE-۲۰۱۸-۷۴۴۵ (امتیاز CVSS: ۹. ۸) - آسیب‌پذیری سرریز بافر MikroTik RouterOS SMB

علاوه بر این، محققان Eclypsium گفتند که آن‌ها ۲۰۰۰۰ دستگاه MikroTik را پیدا کرده‌اند که اسکریپت‌های استخراج ارز دیجیتال را به صفحات وب که کاربران بازدید می‌کردند، تزریق می‌نموده است.

محققان می‌گویند: «توانایی روتر‌های آسیب‌دیده برای تزریق محتوای مخرب، تونل، کپی یا مسیریابی مجدد ترافیک می‌تواند برای کار‌های بسیار مخرب مختلفی استفاده شود. آلودگی DNS می‌تواند ارتباط یک کاربر راه دور را به یک وب‌سایت مخرب هدایت کند یا یک machine-the-middle را در مسیر قرار دهد».
takian.ir over 300000 mikrotik devices found vulnerable to remote hacking bugs 3
محققان افزودند: "یک مهاجم می‌تواند بصورت بابقوه از تکنیک‌ها و ابزار‌های شناخته شده برای به دست آوردن اطلاعات حساس استفاده کند؛ اقداماتی مانند سرقت اعتبارنامه‌های MFA از کاربر راه دور با استفاده از پیام کوتاه از طریق وای‌فای. مانند حملات قبلی، ترافیک سازمانی می‌تواند به محل دیگری تونل شود یا محتوای مخرب به ترافیک اصلی تزریق شود".

روتر‌های MikroTik تنها دستگاه‌هایی هستند که در حملات یک بات‌نت شرکت کرده‌اند. محققان فورتی‌نت این هفته فاش کردند که چگونه بات‌نت Moobot از یک آسیب‌پذیری شناخته شده اجرای کد از راه دور (RCE) در محصولات‌ مانیتورینگ Hikvision (CVE-۲۰۲۱-۳۶۲۶۰) برای توسعه شبکه خود استفاده می‌کند و از دستگاه‌های در معرض خطر برای راه‌اندازی حملات DDoS استفاده می‌نماید.

در گزارش جداگانه‌ای، این شرکت امنیت سایبری سازمانی گفت که اپراتور‌های بات‌نت معروف به Manga با نام مستعار Dark Mirai به طور فعال از آسیب‌پذیری اجرای کد از راه دور که قبلاً تأیید شده است (CVE-۲۰۲۱-۴۱۶۵۳)، برای سرقت روتر‌های TP-Link و دستگاه‌هایی که به شبکه دستگاه‌های آلوده متصل هستند، استفاده کنند.

بروزرسانی خبر
در بیانیه‌ای که آن شرکت لتونیایی با خبرگزاری‌ها به اشتراک گذاشته است، گفت که "هیچ آسیب‌پذیری جدیدی در RouterOS وجود ندارد" و در عین حال تأکید کرد که به روز نگه داشتن سیستم عامل "گامی اساسی برای جلوگیری از انواع آسیب‌پذیری ها" است.

این شرکت توضیح داد: "متأسفانه، مسدود کردن آسیب‌پذیری قدیمی، به معنی محافظت سریع از روتر‌های آسیب دیده محافظت نیست. ما یک backdoor غیرقانونی برای تغییر رمز عبور کاربر و بررسی فایروال یا پیکربندی آن‌ها نداریم و این مراحل باید توسط خود کاربران انجام شود".
 
"ما تمام تلاش خود را می‌کنیم تا با همه کاربران RouterOS ارتباط برقرار کنیم و به آن‌ها یادآوری کنیم که ارتقا‌های نرم‌افزاری لازم را انجام دهند، از رمز‌های عبور ایمن استفاده کنند، فایروال آن‌ها را برای محدود کردن دسترسی از راه دور به کاربر‌های ناآشنا بررسی کنیم و به دنبال اسکریپت‌های غیر معمول بگردیم. متأسفانه، بسیاری از کاربران هرگز با MikroTik تماس نگرفته‌اند و دستگاه‌های آن‌ها به طور فعال کنترل نمی‌شود. ما با مؤسسات مختلف در سراسر جهان برای یافتن راه حل‌های دیگر در حال همکاری هستیم".

برچسب ها: ارز‌های دیجیتال, WinBox, machine-the-middle, فورتی‌نت, Hikvision, Dark Mirai, Manga, TP-Link, Eclypsium, بات‌نت, تونلینگ, RouterOS, Mēris, ماینر, Miner, پچ, ISP, RCE, Fortinet, MooBot, Patch, cybersecurity, رمزارز, DNS, Yandex, آسیب‌پذیری, cryptocurrency miners, Trustwave, MikroTik, DDoS, روتر, backdoor, Cryptocurrencies, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ