به گزارش ایران اکونومیست به نقل از پایگاه اطلاع رسانی مرکز ماهر، تجهیزات ارتباطی شرکت میکروتیک به ویژه روترهای تولیدی این شرکت در کشور در شبکههای کوچک و متوسط بسیار مورد استفاده قرار دارند و از ابتدای امسال چندین آسیب پذیری حیاتی در این تجهیزات شناسایی و منتشر شده است.
گزارش مرکز ماهر در ادامه آورده است: اهمیت این آسیب پذیریها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور و دسترسی به محتوای ترافیک عبوری از مسیریاب (روتر) را فراهم میکند
مرکز ماهر تعدادی از مخاطرات دسترسی به ترافیک عبوری را امکان شنود و بررسی ترافیک شبکه قربانی روی پروتکل های SMB,HTTP,SMTP,FTP برشمرد که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان به دست آوردن همه رمز های عبور را که به صورت متن آشکار در حال تبادل در شبکه قربانی است، فراهم می کند.
مرکز ماهر اعلام کرد: با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیبپذیری آنها، این مرکز از ابتدای سال حداقل 6 مرتبه اطلاعیه و هشدار جدی عمومی از طریق وب سایت و شبکه تعاملی منتشر کرده است.
گزارش مرکز ماهر تاکید دارد: تعداد دستگاه های فعال میکروتیک با رصد انجام شده در تاریخ 10 مرداد ماه 1397 در کشور برابر با 69 هزار و 805 عدد بوده و تعداد دستگاه های آسیب پذیر شناسایی شده توسط این مرکز در تاریخ 14 مرداد 16 هزار و 114 عدد بوده است که همه آنها در معرض نفوذ قرار داشتند.
مرکز ماهر اعلام کرد: چندین بار اطلاع رسانی درباره ضرورت بروزرسانی و انجام اقدام های لازم برای جلوگیری و گسترش این تهدید صورت گرفته است و علاوه بر این اقدام هایی مانند قطع ارتباط از خارج کشور به دستگاههای داخل کشور شامل پورت 8291 (winbox) توانست تا حدی مانع افزایش تعداد قربانیان شود.
مرکز ماهر در ادامه گزارش خود آورده است: به رغم همه اقدام های صورت گرفته متاسفانه مشاهده شد به دلیل همکاری نکردن مالکان این تجهیزات به ویژه شرکتهای خدمات اینترنتی که مالک یا بهره بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیبپذیر بوده و بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمان مختلف قرار گرفته است.
مرکز ماهر اعلام کرد: در موج اخیر حمله و سوءاستفاده از تجهیزات آسیبپذیر میکروتیک، مهاجمان با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهره برداری میکنند، این حمله ها در اصطلاح سرقت رمزپول (CryptoJacking) نام دارد.
گزارش مرکزماهر اضافه کرده است که با رسانه ای شدن خبر آلودگی بیش از 70 هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیب پذیری های دستگاههای میکروتیک این بار با هدف بهره برداری ارزکاوی آغاز شد، هم زمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور کرد که در نخستین مشاهده ها تعداد 157 دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد.
مرکز ماهر اعلام کرد: برای جلوگیری از افزایش خسارت های ناشی از این حمله ها، این مرکز اقدام به انتشار چندین اطلاعیه و ارایه راهکاری های کنترلی کرد اما به دلیل بی توجهی به هشدارها و اطلاعیه های این مرکز و توجه نشان دادن هکرها به این نوع حملات و همچنین آلوده سازی دستگاه ها توسط فرآیند خودکار شاهد افزایش روز افزون تعداد دستگاههای آلوده شده در کشور هستیم.
مرکز ماهر تاکید دارد: روند صعودی حمله ها در روزهای اخیر تسریع شده و به صورت ساعتی در حال افزایش تعداد قربانیان است.
مرکز ماهر اعلام کرد: بیش از 17 هزار و 452 دستگاه آلوده تا لحظه نگارش این گزارش در کشور به ارزکاو مشاهده شده و اکنون از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست.
گزارش مرکز ماهر تاکید دارد: بررسی های کارشناسان مرکز ماهر حاکی از این نکته است که منشاء حمله های این 17 هزار و 452 دستگاه حداکثر 24 مهاجم هستند و نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمان و سرقت رمز عبور و اخذ دسترسی، حتی بعد از بروزرسانی( firmware) نیز همچنان در کنترل مهاجمان قرار دارند.
مرکز ماهر اعلام کرد: شرکتهای بزرگ و کوچک ارائه خدمات اینترنت و شماری از سازمانها و دستگاههای دولتی از جمله قربانیان این حمله هستند.
** دستورالعمل پاکسازی دستگاههای آلوده
گزارش مرکز ماهر اقدام هایی را برای اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیب پذیری مجدد انتشار داده است که می توان به قطع ارتباط روتر از شبکه، بازگردانی به تنظیمات کارخانهای (Factory reset)، بروزرسانی (firmware) به آخرین نسخه منتشر شده توسط شرکت میکروتیک، تنظیم مجدد روترو غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی فقط از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPNانجام شود) اشاره کرد.
مرکز ماهر از دارندگان این تجهیزات خواسته است با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستمهای تحت کنترل خود تغییر دهند.
بنا بر این اطلاعیه، فهرست همه تجهیزات آلوده شناسایی شده به تفکیک شرکتها و سازمانهای مالک، به سازمان تنظیم مقررات رادیویی ارسال شده است و درصورت اقدام نکردن این شرکتها در راستای پاکسازی و رفع آسیبپذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.
روتر یا مسیریاب، دستگاهی است که دادههای اینترنتی را در شبکه مسیریابی میکند. روتر را می توان کلیدی ترین دستگاه ارتباطی در دنیا شبکه نامید که با اتصال شبکههای محلی کوچک به یکدیگر و مسیریابی بستههای اطلاعاتی، شبکه ای از شبکهها که امروزه به آن اینترنت می گوییم را شکل میدهد.