قربانیان آلودگی مسیریابها افزایش یافت
ماهر| مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای کشور اعلام کرد: بیتوجهی مالکان تجهیزات مسیریابهای میکروتیک به هشدارها و توصیههای مرکز ماهر برای مقابله با آسیبپذیری آنها، سبب سرعت گرفتن آلودگی دستگاهها و افزایش قربانیان شده است.
تجهیزات ارتباطی شرکت میکروتیک به ویژه روترهای تولیدی این شرکت در کشور در شبکههای کوچک و متوسط بسیار مورد استفاده قرار دارند و از ابتدای امسال چندین آسیبپذیری حیاتی در این تجهیزات شناسایی و منتشر شده است. گزارش مرکز ماهر در ادامه آورده است: اهمیت این آسیبپذیریها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور و دسترسی به محتوای ترافیک عبوری از مسیریاب (روتر) را فراهم میکند مرکز ماهر تعدادی از مخاطرات دسترسی به ترافیک عبوری را امکان شنود و بررسی ترافیک شبکه قربانی روی پروتکلهای SMB,HTTP,SMTP,FTP برشمرد که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان به دست آوردن همه رمزهای عبور را که به صورت متن آشکار در حال تبادل در شبکه قربانی است، فراهم میکند. مرکز ماهر اعلام کرد: با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیبپذیری آنها، این مرکز از ابتدای سال حداقل 6 مرتبه اطلاعیه و هشدار جدی عمومی از طریق وب سایت و شبکه تعاملی منتشر کرده است.
گزارش مرکز ماهر تاکید دارد: تعداد دستگاههای فعال میکروتیک با رصد انجام شده در تاریخ 10 مرداد ماه 1397 در کشور برابر با 69 هزار و 805 عدد بوده و تعداد دستگاههای آسیب پذیر شناسایی شده توسط این مرکز در تاریخ 14 مرداد 16 هزار و 114 عدد بوده است که همه آنها در معرض نفوذ قرار داشتند.
مرکز ماهر اعلام کرد: چندین بار اطلاعرسانی درباره ضرورت بروزرسانی و انجام اقدامهای لازم برای جلوگیری و گسترش این تهدید صورت گرفته است و علاوه بر این اقدامهایی مانند قطع ارتباط از خارج کشور به دستگاههای داخل کشور شامل پورت 8291 (winbox) توانست تا حدی مانع افزایش تعداد قربانیان شود. مرکز ماهر در ادامه گزارش خود آورده است: با وجود همه اقدامهای صورت گرفته متاسفانه مشاهده شد به دلیل همکاری نکردن مالکان این تجهیزات به ویژه شرکتهای خدمات اینترنتی که مالک یا بهرهبردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیبپذیر بوده و بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمان مختلف قرار گرفته است.
مرکز ماهر اعلام کرد: در موج اخیر حمله و سوءاستفاده از تجهیزات آسیبپذیر میکروتیک، مهاجمان با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبورکننده از این روترها در هنگام مرور وب بهرهبرداری میکنند، این حملهها در اصطلاح سرقت رمزپول (CryptoJacking) نام دارد.
گزارش مرکزماهر اضافه کرده است که با رسانهای شدن خبر آلودگی بیش از 70 هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیبپذیریهای دستگاههای میکروتیک اینبار با هدف بهرهبرداری ارزکاوی آغاز شد، همزمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور کرد که در نخستین مشاهدهها تعداد 157 دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد. مرکز ماهر اعلام کرد: بیش از 17 هزار و 452 دستگاه آلوده تا لحظه نگارش این گزارش در کشور به ارزکاو مشاهده شده و اکنون از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست.
گزارش مرکز ماهر تاکید دارد: بررسیهای کارشناسان مرکز ماهر حاکی از این نکته است که منشأ حملههای این 17 هزار و 452 دستگاه حداکثر 24 مهاجم هستند و نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمان و سرقت رمز عبور و اخذ دسترسی، حتی بعد از بروزرسانی (firmware) نیز همچنان در کنترل مهاجمان قرار دارند. مرکز ماهر اعلام کرد: شرکتهای بزرگ و کوچک ارایه خدمات اینترنت و شماری از سازمانها و دستگاههای دولتی از جمله قربانیان این حمله هستند.
گزارش مرکز ماهر اقدامهایی را برای اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیبپذیری مجدد انتشار داده است که میتوان به قطع ارتباط روتر از شبکه، بازگردانی به تنظیمات کارخانهای (Factory reset)، بروزرسانی (firmware) به آخرین نسخه منتشر شده توسط شرکت میکروتیک، تنظیم مجدد روترو غیرفعال کردن دسترسی به پورتهای مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی فقط از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPNانجام شود) اشاره کرد.
مرکز ماهر از دارندگان این تجهیزات خواسته است با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستمهای تحت کنترل خود تغییر دهند.