نفوذ و جاسوسی از هزاران مسیریاب میکروتیک

به گفته پژوهشگران، اکنون ۳۷۰ هزار مسیریاب میکروتیک آسیب‌پذیر وجود دارد که از اواسط جولای به بیش از ۷۵۰۰ مورد آنها نفوذ شده و پراکسی Socks۴ آنها به‌صورت مخرب فعال شده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، ماه گذشته در گزارشی اعلام شد که یک بدافزار کاوشگر ارزدیجیتالی بیش از ۲۰۰ هزار مسیریاب میکروتیک را آلوده کرده‌است. بر اساس گفته پژوهشگران Qihoo ۳۶۰ Netlab، درحال حاضر ۳۷۰ هزار مسیریاب میکروتیک آسیب‌پذیر وجود دارد که از اواسط ماه جولای به بیش از ۷۵۰۰ مورد آنها نفوذ شده‌است و پراکسی Socks۴ آنها به‌صورت مخرب فعال شده‌است. این کار به مهاجمان اجازه می‌دهد تا روی ترافیک شبکه هدف جاسوسی کنند.

برای نفوذ از نقص CVE-۲۰۱۸-۱۴۸۴۷ استفاده‌شده که مربوط به ویژگی Winbox Any Directory File Read در مسیریاب‌های میکروتیک است. این نقص به همراه آسیب‌پذیری اجرای کد از راه دور Webfig این مسیریاب‌ها، توسط ابزار هک CIA Vault ۷ کشف و بهره‌برداری شده‌است.

Winbox و Webfig هر دو از مولفه‌های مدیریت سیستم‌عامل مسیریاب هستند که پورت‌های مربوط به آنها TCP/۸۲۹۱ ،TCP/۸۰ و TCP/۸۰۸۰ هستند. Winbox برای کاربران ویندوز طراحی شده‌است تا به‌راحتی مسیریاب را پیکربندی کنند. طبق گفته پژوهشگران، بیش از ۳۷۰ هزار مسیریاب از ۱,۲ میلیون مسیریاب میکروتیک همچنان پس ارائه وصله توسط شرکت سازنده، نسبت به آسیب‌پذیری CVE-۲۰۱۸-۱۴۸۷۴ آسیب‌پذیر هستند.

پژوهشگران Netlab بدافزاری را شناسایی کرده‌اند که از آسیب‌پذیری CVE-۲۰۱۸-۱۴۸۷۴ بهره‌برداری می‌کند تا فعالیت‌های مخربی مانند تزریق کد کاوشگر CoinHive، فعال‌سازی پراکسی Socks۴ به‌صورت مخفیانه و جاسوسی روی قربانیان را انجام دهد. مهاجم با فعال‌سازی پراکسی، تمامی درخواست‌های پراکسی مسیریاب را روی یک صفحه خطا HTTP ۴۰۳ هدایت می‌کند که در این صفحه یک لینک برای کاوش از طریق CoinHive تزریق می‌شود.
همچنین مهاجم با فعال‌سازی پورت Socks۴ یا TCP/۴۱۵۳ می‌تواند کنترل دستگاه را حتی پس از راه‌اندازی مجدد به‌دست آورد.

به گفته پژوهشگران، در حال حاضر حدود ۲۳۹ هزار IP گزارش شده‌است که برای آنها Socks۴ به‌صورت مخفیانه و با فعالیت‌های مخرب فعال شده‌است.

از آنجا که دستگاه‌های MikroTik RouterOS به کاربران اجازه می‌دهد تا بسته‌های مسیریاب را دریافت کنند و به سرور Stream به‌خصوصی ارسال کنند، مهاجمان می‌توانند ترافیک مسیریاب‌های آسیب‌دیده را به IPهای تحت کنترل خودشان ارسال کنند. بهترین روشی که برای جلوگیری از این حملات توصیه شده‌است، اعمال وصله‌های ارائه‌شده، بررسی پراکسی‌های HTTP و Socks۴ و قابلیت‌های دریافت ترافیک شبکه در مسیریاب است.