نفوذ سایبری به مسیریاب به کمک UPnProxy
کد مطلب: 14803
تاریخ انتشار : دوشنبه ۱۲ آذر ۱۳۹۷ ساعت ۰۸:۵۴
 
هکرها با استفاده از نوع جدید UPnProxy، سرویس‌های UPnP را به کار برده‌اند تا قوانین ویژه‌ای به جدول‌های NAT مسیریاب‌ها اضافه کنند.
نفوذ سایبری به مسیریاب به کمک UPnProxy
 
 
Share/Save/Bookmark
هکرها با استفاده از نوع جدید UPnProxy، سرویس‌های UPnP را به کار برده‌اند تا قوانین ویژه‌ای به جدول‌های NAT مسیریاب‌ها اضافه کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Akamai یک بدافزار پیشرفته را شناسایی کرده‌اند که می‌تواند پیکربندی‌های مسیریاب‌های خانگی و دفاتر کوچک را ویرایش کند تا اتصالاتی را به شبکه‌های داخلی باز و رایانه‌های شبکه را آلوده کند.

هکرها از تکنیکی با نام UPnProxy استفاده کرده‌اند که مبتنی بر سوءاستفاده از آسیب‌پذیری‌های موجود در سرویس‌های UPnP است و روی برخی مسیریاب‌ها نصب شده‌اند تا جدول‌های NAT دستگاه را ویرایش کنند.

در ماه آوریل، هکرها از این تکنیک برای تبدیل مسیریاب‌ها به پراکسی‌هایی برای ترافیک عادی وب استفاده کردند؛ اما در گزارشی که Akamai منتشر کرد، نوع جدیدی از UPnProxy شناسایی شده‌است که هکرها توسط آن سرویس‌های UPnP را به کار برده‌اند تا قوانین ویژه‌ای به جدول‌های NAT مسیریاب‌ها اضافه کنند. این قوانین همچنان به عنوان پراکسی کار می‌کنند، اما به هکرها اجازه می‌دهند تا به پورت‌های SMB (139 و 445) دستگاه‌ها و رایانه‌های موجود در شبکه داخلی آن متصل شوند.

کارشناسان Akamai اعلام کرده‌اند که هم‌اکنون ۳,۵ میلیون دستگاه آسیب‌پذیر وجود دارند که حدود ۲۷۷هزار مسیریاب دارای سرویس‌های UPnP آسیب‌پذیر هستند. اسکن‌های Akamai نشان می‌دهد که به حداقل ۴۵ هزار مسیریاب نفوذ شده‌است. نفوذ به این مسیریاب‌ها در مجموع ۱.۷ میلیون سیستم منحصربه‌فرد را در معرض خطر قرار می‌دهد.

پژوهشگران مشاهده کرده‌اند که هکرها یک ورودی NAT با نام galleta silenciosa (به معنی silent cookie/cracker در زبان اسپانیایی) در این ۴۵ هزار مسیریاب ایجاد کرده‌اند.

به نظر می‌رسد که مهاجمان از آسیب‌پذیری‌های (EternalBlue (CVE-2017-014 که از آژانس امنیت ملی امریکا (NSA) به سرقت رفته و (EternalRed (CVE-2017-7494 که نسخه‌ای از EternalBlue است و از طریق Samba سیستم‌های لینوکسی را آلوده می‌کند، استفاده کرده‌اند. Akamai این عملیات سایبری را EternalSilence نام‌گذاری کرده‌است.

Akamai توصیه کرده‌است برای بازیابی و جلوگیری از این حملات، صاحبان دستگاه‌ها می‌توانند مسیریاب جدیدی تهیه کنند که دارای آسیب‌پذیری UPnP نباشند یا در صورت آسیب‌پذیر بودن UPnP در دستگاه خود، آن را غیرفعال کنند.

غیرفعال کردن UPnP ورودی‌های تزریق شده به NAT را پاک نمی‌کند، درنتیجه صاحبان مسیریاب‌ها باید آن‌ را راه‌اندازی مجدد کنند یا به تنظیمات کارخانه بازگردانند و سپس UPnP را به‌طور کامل غیرفعال کنند. همچنین به‌روزرسانی به آخرین نسخه Firmware نیز توصیه می‌شود.

احتمال آلوده شدن سیستم‌های متصل به مسیریاب‌های آسیب‌پذیر نیز وجود دارد و باید ترافیک غیرمجاز در LAN سیستم‌های لینوکسی و ویندوزی که احتمالا با EternalBlue یا EternalRed آلوده شده‌اند، بررسی شود.
مرجع : مرکز مدیریت راهبردی افتا