عمومی شدن کد مورد استفاده در حمله‌ی روز صفرم به مسیریاب هوآوی

کد بهره‌برداری مورد استفاده در نوعی از بدافزار Mirai به نام Satori که در طی چندین هفته‌ی گذشته برای حمله به صدها هزار مسیریاب   هوآوی مورد استفاده قرار گرفته است، اکنون به صورت عمومی منتشر شده است. 

 

پژوهشگران هشدار می‌دهند که این کد به‌سرعت به یک وسیله‌ی مناسب تبدیل شده و در حملات DDoS از طریق بات‌نت‌هایی مانند Reaper یا IOTrooper به‌کار گرفته خواهد شد.

 

اولین بار یک پژوهشگر از شرکت نیواِسکای سکیوریتی این کد را هفته‌ی گذشته بر روی وب‌گاه Pastebin.com منتشر کرد. این کد که یک آسیب‌پذیری روز صفرم بوده و با شناسه‌ی CVE-2017-17215 ردیابی می‌شود، توسط یک نفوذگر شناسایی شده به نام «Nexus Zeta» به‌منظور گسترش نوعی از بدافزار Mirai به نام Satori، که با نام Mirai Okiru نیز شناخته می‌شود، استفاده شده است.

 

مدیر گروه تهدید اطلاعاتی چک‌پوینت گفت: «این واقعیت که این کد در حال حاضر منبع باز می‌باشد، بدان معنی است که عاملان تهدیدکننده‌ی بیشتری خواهند توانست از آن استفاده کنند. ما می‌توانیم فرض کنیم که این بهره‌برداری به یک وسیله‌ی مناسب تبدیل شده و بات‌نت‌های اینترنت اشیاء که در تلاش برای بهره‌برداری از یک کیت بزرگ آسیب‌پذیری هستند، آسیب‌پذیری با شناسه‌ی CVE-2017-17215 را به انبار خود خواهند افزود.»

 

هفته‌ی گذشته، چک‌پوینت آسیب‌پذیری ردیابی شده با شناسه‌ی CVE-2017-17215 را در یک مسیریاب خانگی  هوآوی با مدل HQ532 شناسایی کرد که توسط Nexus Zeta به‌منظور گسترش نوعی از بدافزار Mirai به نام Satori، که با نام Mirai Okiru نیز شناخته می‌شود، مورد استفاده قرار گرفته بود. پس از آن،  هوآوی یک اطلاعیه‌ی امنیتی به‌روز شده برای هشدار دادن به مشتریان خود منتشر کرد. در این اطلاعیه آمده است که این آسیب‌پذیری به عملان سایبری از راه دور اجازه می‌دهد تا بسته‌های مخرب را به پورت 37215 به‌منظور اجرای کد راه دور در مسیرهای آسیب‌پذیر ارسال نمایند.

 

این کد در حال حاضر به‌عنوان یکی از انواع کدهای مورد استفاده‌ی نفوذگران کلاه‌ سیاه شناخته شده است. همانند بهره‌برداری‌های قبلی SOAP که به‌صورت رایگان برای عموم منتشر شده است، این کد توسط نفوذگران تازه‌کار و عاملان تهدیدکننده استفاده خواهد شد. 

 

علت اصلی این آسیب‌پذیری، یک اشکال مربوط به SOAP، پروتکل مورد استفاده توسط بسیاری از دستگاه‌های اینترنت اشیاء، است. آسیب‌پذیری‌های قبلی در SOAP (ردیابی شده با شناسه‌ی CVE-2014-8361 و TR-064) فروشندگان مختلفی را تحت تاثیر قرار داده و به‌طور گسترده‌ای توسط انواع بدافزارهای Mirai مورد استفاده قرار گرفته است.

 

آسیب‌پذیری روز صفرم که با شناسه‌ی CVE-2017-17215 ردیابی می‌شود، از نحوه‌ی استفاده‌ی مسیریاب  هوآوی از پروتکل Universal Plug و Play (UPnP) و استاندارد گزارش فنی TR-064 بهره‌برداری می‌کند. TR-064 یک استاندارد طراحی شده برای افزودن آسان‌تر دستگاه‌های تعبیه شده‌ی UPnP به یک شبکه‌ی محلی می‌باشد.

 

هدف اصلی این بارداده، دستور دادن به ربات با بسته‌های ایجاد شده به‌صورت دستی UDP یا TCP می‌باشد.

 

این پژوهش‌گر گفت: «این کد بهره‌برداری قبلا توسط دو بات‌نت بزرگ اینترنت اشیاء، Brickerbot و Satori مورد استفاده قرار گرفت و اکنون که عمومی شده است، با انواع مختلف بات‌نت ترکیب خواهد شد.»

 

 هوآوی گزارش داده است که مقابله با چنین حملاتی، پیکربندی دیواره‌ی آتش داخلی مسیریاب، تغییر گذرواژه‌ی پیش‌فرض یا استفاده از دیواره‌ی آتش در سمت دستگاه حامل را شامل می‌شود.

 

آن‌ها توصیه کردند: «توجه داشته باشید که کاربران این مسیریاب عمدتا کاربران خانگی هستند که به‌طور معمول به رابط مسیریاب خود وارد نشده و لزوما دانش آن را نیز ندارند و بنابراین، متاسفانه باید فرض کنیم که اکثر این دستگاه‌ها آسیب‌پذیر هستند. ما به شدت نیاز به تولیدکنندگان دستگاه‌های اینترنت اشیائی داریم که در اولویت اول، امنیت ایجاد کرده و در برابر کاربران پاسخگو باشند.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید