‫ هشدار مهم درخصوص آسیب‌پذیری روترهای میکروتیک و ادامه سوءاستفاده مهاجمین

تجهیزات ارتباطی شرکت ‫میکروتیک به ویژه روترهای تولید این شرکت در کشور و عموماً در شبکه‌های کوچک و متوسط بسیار مورد استفاده قرار دارند. از ابتدای سال جاری، چندین ‫آسیب‌پذیری حیاتی در این تجهیزات شناسایی و منتشر گردید. اهمیت این آسیب‌پذیری‌ها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور، و دسترسی به محتوای ترافیک عبوری از روتر را فراهم می‌کند. از جمله مخاطرات دسترسی به ترافیک عبوری، می توان به امکان شنود و بررسی ترافیک شبکه قربانی بر روی پروتکل های SMB, HTTP, SMTP, FTP و غیره اشاره کرده که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان بدست آوردن تمامی رمز های عبور که به صورت متن آشکار در حال تبادل در شبکه قربانی می باشد را فراهم می کند.
به دلیل اهمیت این آسیب‌پذیری‌ها سازمان‌های مربوطه در کشور از جمله سازمان ماهر چندین بار اقدام به اطلاع رسانی نمودند.

با وجود همه‌ی اقدامات صورت گرفته متاسفانه مشاهده شد به دلیل عدم همکاری مالکین این تجهیزات به ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیب‌پذیر می‌باشند. بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمین مختلف قرار گرفته است.
در موج اخیر حمله و سوءاستفاده از تجهیزات آسیب‌پذیر میکروتیک، مهاجمین با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهره‌برداری می‌کنند، این حملات اصطلاحاً CryptoJacking نام دارد.

تا کنون بیش از ۱۷،۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است. در حال حاضر از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ‌ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست. بررسی های کارشناسان مرکز ماهر حاکی از این نکته است که منشاء حملات این ۱۷،۴۵۲ دستگاه حداکثر ۲۴ مهاجم می باشند.
نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمین و سرقت رمز عبور و اخذ دسترسی،‌ حتی بعد از بروزرسانی firmware نیز همچنان در کنترل مهاجمین قرار دارند. شرکت‌های بزرگ و کوچک ارائه خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند.

با درنظر گرفتن این شرایط، لازم است به منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیب‌پذیری مجدد، اقدامات زیر صورت پذیرد:

  • قطع ارتباط روتر از شبکه
  • بازگردانی به تنظیمات کارخانه‌ای (Factory reset)
  • بروزرسانی firmware به آخرین نسخه منتشر شده توسط شرکت میکروتیک
  • تنظیم مجدد روتر
  • غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی صرفاً از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPN انجام گردد)
  • با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستم‌های تحت کنترل خود تغییر دهید.

درصورتی که راه‌اندازی و تنظیم مجدد امکان پذیر نیست، می توان مراحل زیر را جهت پاکسازی روتر اجرا نمود. با این وجود همچنان روش فوق توصیه می‌گردد:

  • اعمال آخرین نسخه بروزرسانی بر روی دستگاه های میکروتیک
  • بررسی گروه های کاربری و حساب های دسترسی موجود
  • تغییر رمز عبور حساب های موجود و حذف نام های کاربری اضافی و بدون کاربرد
  • بررسی فایل های webproxy/error.htmlو flash/webproxy/error.html
  • حذف اسکریپت ارزکاوی (coinhive) از فایل
  • حذف هر گونه تگ اسکریپت اضافه فراخوانی شده در این فایل ها
  • حذف تمامی Scheduler Task های مشکوک
  • حذف تمامی اسکریپت های مشکوک در مسیر System/Script
  • حذف تمامی فایل های مشکوک در مسیر فایل سیستم و پوشه های موجود
  • بررسی تنظیمات بخش فایروال و حذف Ruleهای اضافی و مشکوک
  • اضافه کردن Rule هایی برای اعمال محدودیت دسترسی از شبکه های غیرمجاز
  • بررسی جدول NAT و حذف قوانین اضافی و مشکوک
  • غیرفعال کردن دسترسی Web و Telnet
  • محدود کردن دسترسی های مجاز به Winbox
  • غیرفعال کردن دسترسی به پورت های مدیریتی از خارج شبکه داخلی
  • بررسی تنظیمات بخش Sniffer و غیرفعال کردن Capture و Streaming در صورت عدم استفاده
  • غیرفعال کردن تنظیمات web proxy در صورت عدم استفاده
  • غیرفعال کردن تنظیمات Socks در صورت عدم استفاده
  • در ادامه به اطلاع می‌رساند فهرست کلیه تجهیزات آلوده‌ی شناسایی شده به تفکیک شرکت‌ها و سازمان‌های مالک، به سازمان تنظیم مقررات رادیویی ارسال شده و تبعا درصورت عدم اقدام این شرکت‌ها در راستای پاکسازی و رفع آسیب‌پذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.

لینک خبر از سایت سازمان ماهر (با توضیحات بیشتر):

https://www.certcc.ir/news/12549