۱.۷ میلیون سیستم در معرض خطر هکرها
پژوهشگران موسسه آکامای، بدافزار پیشرفتهای شناسایی کردهاند که میتواند پیکربندیهای مسیریابهای خانگی را و یرایش واتصالات رایانهها را آلوده کند. هماکنون ۱.۷ میلیون سیستم در معرض خطر هستند.
پژوهشگران موسسه آکامای، بدافزار پیشرفتهای شناسایی کردهاند که میتواند پیکربندیهای مسیریابهای خانگی را ویرایش و اتصالات رایانهها را آلوده کند. هماکنون ۱.۷ میلیون سیستم در معرض خطر هستند.
به گزارش تجارتنیوز، معاونت بررسی مرکز فتای ریاست جمهوری از نفوذ هکرها به هزاران مسیریاب از طریق UPnProxy خبر داد و اعلام کرد: پژوهشگران Akamai یک بدافزار پیشرفته را شناسایی کردهاند که میتواند پیکربندیهای مسیریابهای خانگی و دفاتر کوچک را ویرایش کند تا اتصالات شبکههای داخلی و رایانههای شبکه را آلوده کند.
در این نفوذ سایبری، هکرها از تکنیکی با نام UPnProxy استفاده کردهاند که مبتنی بر سوءاستفاده از آسیبپذیریهای موجود در سرویسهای UPnP است و روی برخی مسیریابها نصب شدهاند تا جدولهای NAT دستگاه را ویرایش کنند.
در ماه آوریل، هکرها از این تکنیک برای تبدیل مسیریابها به پراکسیهایی برای ترافیک عادی وب استفاده کردند. اما در گزارشی که Akamai منتشر کرده، نوع جدیدی از UPnProxy شناسایی شده که هکرها توسط آن سرویسهای UPnP را به کار بردهاند تا قوانین ویژهای به جدولهای NAT مسیریابها اضافه کنند. این قوانین همچنان به عنوان پراکسی کار میکنند، اما به هکرها اجازه میدهند تا به پورتهای (۴۴۵ و ۱۳۹) SMB و دستگاهها و رایانههای موجود در شبکه داخلی آن متصل شوند.
کارشناسان Akamai اعلام کردهاند که هماکنون ۳.۵ میلیون دستگاه آسیبپذیر وجود دارند که حدود ۲۷۷۰۰۰ مسیریاب دارای سرویسهای UPnP آسیبپذیر هستند. اسکنهای Akamai نشان میدهد که به حداقل ۴۵ هزار مسیریاب نفوذ شده است. نفوذ به این مسیریابها، در مجموع ۱.۷ میلیون سیستم منحصر به فرد را در معرض خطر قرار میدهد.
پژوهشگران مشاهده کردهاند که هکرها یک ورودی NAT با نام galleta silenciosa (به معنی silent cookie/cracker در زبان اسپانیایی) در این ۴۵ هزار مسیریاب ایجاد کردهاند.
به نظر میرسد که مهاجمان از آسیبپذیریهای (EternalBlue (CVE-۲۰۱۷-۰۱۴۴ که از آژانس امنیت ملی امریکا (NSA) به سرقت رفته و (EternalRed (CVE-۲۰۱۷-۷۴۹۴ که نسخهای از EternalBlue است و از طریق Samba که سیستمهای لینوکسی را آلوده میکند، استفاده کردهاند.
Akamai این عملیات سایبری را EternalSilence نامگذاری کرده است.
Akamai توصیه کرده که برای بازیابی و جلوگیری از این حملات، صاحبان دستگاهها مسیریاب جدیدی تهیه کنند که دارای آسیبپذیری UPnP نباشند، یا در صورت آسیبپذیر بودن UPnP در دستگاه خود، آنرا غیرفعال کنند.
غیرفعال کردن UPnP ورودیهای تزریق شده بهNAT را پاک نمیکند، در نتیجه صاحبان مسیریابها باید آنرا راهاندازی مجدد کنند یا آنرا به تنظیمات کارخانه بازگردانند و سپس UPnP را بطور کامل غیرفعال کنند. همچنین بهروزرسانی به آخرین نسخه Firmware نیز توصیه میشود.
احتمال آلوده شدن سیستمهای متصل به مسیریابهای آسیبپذیر نیز وجود دارد و باید ترافیک غیرمجاز در LAN سیستمهای لینوکسی و ویندوزی که احتمالا با EternalBlue یا EternalRed آلوده شدهاند، بررسی شود.
منبع: مهر
نظرات