IPIment ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

میکروتیک

شرکت تاکیان - توسعه امن کیان - تاکیان

سوء استفاده هکرها از روترهای لبه شبکه

اخبار و گزارش های جدید سایت ها  تحلیلی و پایگاه های خبری حاکی از آن هست که در سال 2018 سوء استفاده از Takian.ir hacking routerروتر های شبکه افزایش یافته است و از روتر های شبکه ها به عنوان یکی از ابزار های اصلی در چرخه حمله  استفاده شده است. از نمونه  های بسیار مهم می توان به حملات گروه هکری  Slingshot APT  اشاره کرد که از  روتر های میکروتیک برای آلوده کردن هاست ها در زیر ساخت سایبری داعش استفاده کرد. البته اینکه آیا از این آسیب پذیری برای کشور های دیگر از جمله ایران استفاده نکرده باشد هنوز مشخص نشده است. نمونه دیگر استفاده Inception Framework APT از روتر های خانگی برای ایجاد شبکه ای از Proxy های تو در تو هست که می توانند خود را پشت آنها پنهان کنند. از نمونه های قدیمی تر می توان به حمله به روتر های سیسکو توسط SYNful Knock اشاره کرد که توسط Fireeye شناسایی شد.  آخرین مثال هم استفاده گروه LuckyMouse APT از روتر ها به عنوان C&C های خود بوده است. 

البته  ما همه می دانیم که این ها مثال های کشف شده از سوء استفاده از تجهیزات روتر می باشد و ممکن است، شاید بهتر است بگوییم به احتمال زیاد، راه کار هایی متعدد کشف یا شناخته نشده ای توسط نفوذگران استفاده می شوند که می توانند ریسک های امنیتی متعددی را برای ما ایجاد کنند.

با توجه به آنچه گفته شد نکات زیر در این مورد قابل توجه است :

  • همواره از آخرین آسیب پذیری های مربوط به تجهیزات خود مطلع باشید و در صورت مشاهده یک آسیب پذیری با درجه اهمیت Critical یا High نسبت استفاده از Workaround اعلام شده اقدام کنید. در صورت نشر سیستم عامل یا Firmware تجهیز نیز در حداقل زمان اقدام کرده و بروز رسانی کنید. حمله به Smart Install شرکت سیسکو در فاصله کمتر از 10 روز نمونه بسیار خوبه از اهمیت سرعت عمل در واکنش ما است. این رصد می تواند توسط CERT یا SOC توسط Feed های موجود یا بررسی های فردی انجام شود.
  • حتما سیستم عامل و Firmware های خود را از سایت معتبر تهیه و قبل از نصب Hash آن را با سایت اصلی مقایسه کنید. سیستم عامل های Backdoor شده یکی از راه های نفوذ اصلی در دسترسی به روتر ها محسوب می شوند.
  • تمام دسترسی های مدیریتی از راه دور به تجهیزات خود را مسدود یا محدود کنید. نمونه این قابلیت ها Control Plane Policy در روتر های سیسکو می باشد. به علاوه ، لاگ های مربوط به دسترسی را ثبت کرده و آن ها را بررسی کنید.
  • در صورت امکان از یک راه کار Packet analyzer یا IPS ( به صورت Passive یا حتی Tap) در مسیر ارتباطی به روتر خود استفاده کنید و تمامی حملات به پروتکل ها یا دسترسی های غیر مجاز به سمت خود تجهیز روتر را رصد کنید و تجهیزات IPS خود را بگونه ای تنظیم کنید که لاگ های مربوط را به سمت SIEM ، ابزار مدیریت لاگ یا هر ابزار دیگری با قابلیت مشابه ارسال کند. 
  • چک لیست های مربوط به Hardening را پیاده سازی کنید و خطاهای تنظیمات را به حداقل برسانید.
  • تغییرات تنظیمات را به صورت مستمر رصد کنید و در صورتی مشاهده تنظیمات مشکوک یا غیر مجاز بلافاصله نسبت به آن واکنش دهید

هکرها بیش از دویست هزار روتر میکروتیک را آلوده به بدافزارهای ماینینگ کردند

محققان امنیتی حداقل سه کمپین عظیم مخرب برای گسترش بدافزارها را کشف کرده اند که از صدها هزار روتر MikroTik سوء استفاده می کنند تا بصورت مخفیانه بدافزارهای ماینر ارزهای دیجیتال (cryptocurrency miners) را بدون اجازه در رایانه های متصل به آنها نصب کنند.Takian.ir Mining Monero in Mikrotik
در مجموع، کمپین های بدافزاری بیش از 210،000 روتر از شرکت ارائه دهنده سخت افزار شبکه لتونی (Latvian network hardware provider Mikrotik) در سراسر جهان را به خطر انداخته اند، که هنوز هم در حال افزایش هستند.
هکرها از یک آسیب پذیری شناخته شده در Winbox روتر MikroTik بهره می گیرند که در اردیبهشت ماه سال جاری(1397) کشف شد و طی یک روز از کشف آن پچ شده است که بار دیگر نشان میدهد که پچ نکردن بروزرسانی ها چقدر میتواند دردسرساز باشد.
این نقص امنیتی به طور بالقوه می تواند به مهاجم این اجازه را بدهد که از راه دور به هر روتر میکروتیک آسیب پذیری دسترسی داشته باشد.
اولین کمپین برای اولین بار توسط توسط محققان Trustwave کشف شد که با هدف قرار دادن تجهیزات شبکه در برزیل آغاز شده بود، جایی که یک هکر یا گروهی از هکرها بیش از 183،700 روتر MikroTik را به خطر انداختند.
از آنجا که هنوز هم بسیاری از روترهای میکروتیک موجود در دنیا، پچ های مرود نظر را نصب نکرده اند و هکرها هرروز اطلاعات بیشتری در مورد این باگ کشف میکنند، احتمال میرود که این حملات در مقیاس گسترده تری در جهان گسترش یابند.
تروی مورچ (Troy Mursch)، یکی از محققان امنیتی، دو کمپین مشابه بدافزار را شناسایی کرده است که 25،500 و 16،000 روتر MikroTik را در مولدووا آلوده کرده است، که این بدافزارها عمدتاً به منظور ماینینگ ارزهای دیجیتال بوده و از سرویس CoinHive بهره برده اند. روش کار به این صورت است که مهاجمان کد جاوا اسکریپت Coinhive را به صفحات وبی تزریق میکنند که از مسیر یک روتر آسیب پذیر مشاهده شود تا در نهایت هر کامپیوتر متصل را به صورت ناشناس به یک ماینر ارز دیجیتالی مونرو (Monero) تبدیل کند.
سایمون کنین (Simon Kenin) محقق شرکت Trustwave می گوید: "مهاجم یک صفحه خطای سفارشی با اسکریپت CoinHive را ایجاد کرده است" و "اگر کاربر هنگام مرور صفحات وب، یک صفحه خطا (از هر نوع) را دریافت کند، این صفحه خطای سفارشی برای کاربر ارسال میگردد و شروع به ماینینگ میکند."  آنچه در مورد این کمپین ها قابل توجه است، این است که مهاجمان بجای اینکه با استفاده از روش های پیچیده استفاده کنند، توانسته اند به همین راحتی کلاینت های بسیار زیادی را آلوده کرده و به هدفشان برسند.
سایمون کنین همچنین گفت: "صدها هزار دستگاه از این دستگاه ها (MikroTik) در سرتاسر جهان وجود دارد، در ISP ها و سازمان ها و کسب و کارهای مختلف، هر دستگاه حداقل ده ها و نه صدها کاربر روزانه را خدمت می کند. این یک زنگ اخطار خوب برای کاربران و مدیران فناوری اطلاعات است که در حال حاضر روترهای MikroTik آسیب پذیر را در محیط خود به کار می گیرند تا در اسرع وقت دستگاه های خود را بروزرسانی و پچ کنند".
این اولین بار نیست که روترهای MikroTik برای گسترش نرم افزارهای مخرب هدف قرار گرفته اند. در اسفند ما سال 1396 نیز، یک گروه هک پیشرفته APT از آسیب پذیری های ناشناخته در روترهای MikroTik به منظور مخفی ساختن نرم افزارهای جاسوسی به رایانه های قربانیان بهره برداری کرد.
حرف آخر:با توجه به بالا رفتن قیمت ارز و قیمت پایین تجهیزات میکروتیک ، استفاده از این فایروال روتر بسیار فراگیر شده است، برای جلوگیری از بروز حملات رایج مطرح شده در این چند ماه و درگیر شدن با کمپین های بدافزاری، حتما فایروال روتر میکروتیک خود را بروزرسانی کرده و دسترسی های آن را محدود نمایید و در سناریوهای تخصصی تر حتما از فایروال های حرفه ای استفاده نمایید.