IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

روتر

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

اختلال سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی

به گزارش مرکز ماهر، در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مذمون در غالب startup-config مشاهده گردید:Takian.ir smart install client Cisco

دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند. لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید. تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان منتشر خواهد شد.

بدافزاری جهت استخراج بیت کوین از تلویزیون های هوشمند

به گزارس سایت هک رید؛ محققان امنیتی یک شرکت امنیت سایبری چینی به نام «Netlab» خبر از انتشار و گسترش سریع یک بدافزار به نام «ADB.miner» داد که این بدافزار «Android.CoinMine.15» هم نامیده می شود.Takian.ir monero mining malware infecting android smart tvs smartphones

محققان امنیتی با دقت این بدافزار را رصد کرده و متوجه این مسئله شدند که فعالیت آن به شدت روبه افزایش است.

این بدافزار بیشتر تلویزیون های هوشمند قابل حمل و دستگاه های اندرویدی را هدف قرار می دهد. به عبارتی دیگر تمامی تجهیزاتی که از سیستم عامل اندروید استفاده می کنند مانند تلفن های هوشمند، مدیا پلیر، روتر ها و سرویس هایی مانند « Raspberry Pi 3» در معرض خطر این بدافزار هستند.

این بدافزار از طریق پورت باز 5555 حملات و نفوذ خود را عملی می کند و هدف اصلی آن استخراج بیت کوین است.

بدافزار مذکور از طریق نرم افزار «Droidbot.apk» به تجهیزات اندرویدی وارد می شود و در همین راستا فایل هایی مخربی از جمله « sss ، nohup  و bot.dat» از طریق همین نرم افزار وارد سیستم شخص می شوند.

پس از نفوذ و استقرار پیدا کردن این بدافزار روی تجهیزات اندرویدی، این بدافزار به دنبال پورت باز 5555 میگردد که گفته می شود این پورت برای اتصال به اینترنت بوده است. طبق آزمایش هایی صورت گرفته این بدافزار از طریق 2.750 آدرس آی پی نفوذ کرده و بین کوین استخراج می کند.

Takian.ir monero mining malware infecting android smart tvs smartphones

طبق آخرین اطلاعات به دست آمده این بدافزار فقط در 24 ساعت بیش از 5000 سیستم کامپیوتری را آلوده کرده است.

سوء استفاده هکرها از روترهای لبه شبکه

اخبار و گزارش های جدید سایت ها  تحلیلی و پایگاه های خبری حاکی از آن هست که در سال 2018 سوء استفاده از Takian.ir hacking routerروتر های شبکه افزایش یافته است و از روتر های شبکه ها به عنوان یکی از ابزار های اصلی در چرخه حمله  استفاده شده است. از نمونه  های بسیار مهم می توان به حملات گروه هکری  Slingshot APT  اشاره کرد که از  روتر های میکروتیک برای آلوده کردن هاست ها در زیر ساخت سایبری داعش استفاده کرد. البته اینکه آیا از این آسیب پذیری برای کشور های دیگر از جمله ایران استفاده نکرده باشد هنوز مشخص نشده است. نمونه دیگر استفاده Inception Framework APT از روتر های خانگی برای ایجاد شبکه ای از Proxy های تو در تو هست که می توانند خود را پشت آنها پنهان کنند. از نمونه های قدیمی تر می توان به حمله به روتر های سیسکو توسط SYNful Knock اشاره کرد که توسط Fireeye شناسایی شد.  آخرین مثال هم استفاده گروه LuckyMouse APT از روتر ها به عنوان C&C های خود بوده است. 

البته  ما همه می دانیم که این ها مثال های کشف شده از سوء استفاده از تجهیزات روتر می باشد و ممکن است، شاید بهتر است بگوییم به احتمال زیاد، راه کار هایی متعدد کشف یا شناخته نشده ای توسط نفوذگران استفاده می شوند که می توانند ریسک های امنیتی متعددی را برای ما ایجاد کنند.

با توجه به آنچه گفته شد نکات زیر در این مورد قابل توجه است :

  • همواره از آخرین آسیب پذیری های مربوط به تجهیزات خود مطلع باشید و در صورت مشاهده یک آسیب پذیری با درجه اهمیت Critical یا High نسبت استفاده از Workaround اعلام شده اقدام کنید. در صورت نشر سیستم عامل یا Firmware تجهیز نیز در حداقل زمان اقدام کرده و بروز رسانی کنید. حمله به Smart Install شرکت سیسکو در فاصله کمتر از 10 روز نمونه بسیار خوبه از اهمیت سرعت عمل در واکنش ما است. این رصد می تواند توسط CERT یا SOC توسط Feed های موجود یا بررسی های فردی انجام شود.
  • حتما سیستم عامل و Firmware های خود را از سایت معتبر تهیه و قبل از نصب Hash آن را با سایت اصلی مقایسه کنید. سیستم عامل های Backdoor شده یکی از راه های نفوذ اصلی در دسترسی به روتر ها محسوب می شوند.
  • تمام دسترسی های مدیریتی از راه دور به تجهیزات خود را مسدود یا محدود کنید. نمونه این قابلیت ها Control Plane Policy در روتر های سیسکو می باشد. به علاوه ، لاگ های مربوط به دسترسی را ثبت کرده و آن ها را بررسی کنید.
  • در صورت امکان از یک راه کار Packet analyzer یا IPS ( به صورت Passive یا حتی Tap) در مسیر ارتباطی به روتر خود استفاده کنید و تمامی حملات به پروتکل ها یا دسترسی های غیر مجاز به سمت خود تجهیز روتر را رصد کنید و تجهیزات IPS خود را بگونه ای تنظیم کنید که لاگ های مربوط را به سمت SIEM ، ابزار مدیریت لاگ یا هر ابزار دیگری با قابلیت مشابه ارسال کند. 
  • چک لیست های مربوط به Hardening را پیاده سازی کنید و خطاهای تنظیمات را به حداقل برسانید.
  • تغییرات تنظیمات را به صورت مستمر رصد کنید و در صورتی مشاهده تنظیمات مشکوک یا غیر مجاز بلافاصله نسبت به آن واکنش دهید