تجهیزات ارتباطی شرکت میکروتیک به ویژه روترهای تولید این شرکت در کشور و عموماً در شبکههای کوچک و متوسط بسیار مورد استفاده قرار دارند. از ابتدای سال جاری، چندین آسیبپذیری حیاتی در این تجهیزات شناسایی و منتشر گردید. اهمیت این آسیبپذیریها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور، و دسترسی به محتوای ترافیک عبوری از روتر را فراهم میکند. از جمله مخاطرات دسترسی به ترافیک عبوری، می توان به امکان شنود و بررسی ترافیک شبکه قربانی بر روی پروتکل های SMB, HTTP, SMTP, FTP و غیره اشاره کرده که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان بدست آوردن تمامی رمز های عبور که به صورت متن آشکار در حال تبادل در شبکه قربانی می باشد را فراهم می کند.
به دلیل اهمیت این آسیبپذیریها سازمانهای مربوطه در کشور از جمله سازمان ماهر چندین بار اقدام به اطلاع رسانی نمودند.
با وجود همهی اقدامات صورت گرفته متاسفانه مشاهده شد به دلیل عدم همکاری مالکین این تجهیزات به ویژه شرکتهای خدمات اینترنتی که مالک یا بهره بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیبپذیر میباشند. بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمین مختلف قرار گرفته است.
در موج اخیر حمله و سوءاستفاده از تجهیزات آسیبپذیر میکروتیک، مهاجمین با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهرهبرداری میکنند، این حملات اصطلاحاً CryptoJacking نام دارد.
تا کنون بیش از ۱۷،۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است. در حال حاضر از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست. بررسی های کارشناسان مرکز ماهر حاکی از این نکته است که منشاء حملات این ۱۷،۴۵۲ دستگاه حداکثر ۲۴ مهاجم می باشند.
نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمین و سرقت رمز عبور و اخذ دسترسی، حتی بعد از بروزرسانی firmware نیز همچنان در کنترل مهاجمین قرار دارند. شرکتهای بزرگ و کوچک ارائه خدمات اینترنت و شماری از سازمانها و دستگاههای دولتی از جمله قربانیان این حمله هستند.
با درنظر گرفتن این شرایط، لازم است به منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیبپذیری مجدد، اقدامات زیر صورت پذیرد:
- قطع ارتباط روتر از شبکه
- بازگردانی به تنظیمات کارخانهای (Factory reset)
- بروزرسانی firmware به آخرین نسخه منتشر شده توسط شرکت میکروتیک
- تنظیم مجدد روتر
- غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی صرفاً از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPN انجام گردد)
- با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستمهای تحت کنترل خود تغییر دهید.
درصورتی که راهاندازی و تنظیم مجدد امکان پذیر نیست، می توان مراحل زیر را جهت پاکسازی روتر اجرا نمود. با این وجود همچنان روش فوق توصیه میگردد:
- اعمال آخرین نسخه بروزرسانی بر روی دستگاه های میکروتیک
- بررسی گروه های کاربری و حساب های دسترسی موجود
- تغییر رمز عبور حساب های موجود و حذف نام های کاربری اضافی و بدون کاربرد
- بررسی فایل های webproxy/error.htmlو flash/webproxy/error.html
- حذف اسکریپت ارزکاوی (coinhive) از فایل
- حذف هر گونه تگ اسکریپت اضافه فراخوانی شده در این فایل ها
- حذف تمامی Scheduler Task های مشکوک
- حذف تمامی اسکریپت های مشکوک در مسیر System/Script
- حذف تمامی فایل های مشکوک در مسیر فایل سیستم و پوشه های موجود
- بررسی تنظیمات بخش فایروال و حذف Ruleهای اضافی و مشکوک
- اضافه کردن Rule هایی برای اعمال محدودیت دسترسی از شبکه های غیرمجاز
- بررسی جدول NAT و حذف قوانین اضافی و مشکوک
- غیرفعال کردن دسترسی Web و Telnet
- محدود کردن دسترسی های مجاز به Winbox
- غیرفعال کردن دسترسی به پورت های مدیریتی از خارج شبکه داخلی
- بررسی تنظیمات بخش Sniffer و غیرفعال کردن Capture و Streaming در صورت عدم استفاده
- غیرفعال کردن تنظیمات web proxy در صورت عدم استفاده
- غیرفعال کردن تنظیمات Socks در صورت عدم استفاده
- در ادامه به اطلاع میرساند فهرست کلیه تجهیزات آلودهی شناسایی شده به تفکیک شرکتها و سازمانهای مالک، به سازمان تنظیم مقررات رادیویی ارسال شده و تبعا درصورت عدم اقدام این شرکتها در راستای پاکسازی و رفع آسیبپذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.
لینک خبر از سایت سازمان ماهر (با توضیحات بیشتر):