بات‌نت جدید میرای، مسیریاب‌های خانگی را هدف می‌گیرد

چند روز پیش خبر آسیب‌پذیری‌ای منتشر شد که در مسیریاب‌های خانگی بیش از 20 تولیدکننده وجود داشت.

 بات‌نت جدید میرای، مسیریاب‌های خانگی را هدف می‌گیرد

چند روز پیش خبر آسیب‌پذیری‌ای منتشر شد که در مسیریاب‌های خانگی بیش از 20 تولیدکننده وجود داشت. تنها سه روز پس از انتشار این خبر، مشاهده شد که مهاجمان با سوء استفاده از این باگ در حال افزودن مسیریاب‌ها به یک بات‌نت هستند.

این آسیب‌پذیری که دارای شناسه CVE-2021-20090 است، توسط محققان شرکت Tenable کشف و منتشر شده است. این آسیب‌پذیری تجهیزات 20 تولیدکننده و ISP مختلف را تحت تأثیر قرار می‌دهد. این تولیدکنندگان عبارت اند از: ADB، Arcadyan، ASMAX، ASUS، Beeline، British Telecom، Buffalo، Deutsche Telekom، HughesNet، KPN، O2، Orange، Skinny، SparkNZ، Telecom [Argentina]، TelMex، Telstra، Telus،Verizon و Vodafon.
همه این 20 نوع تجهیز دارای ثابت‌افزار تولید شده توسط شرکت Arcadyan هستند. در مجموع میلیون‌ها تجهیز در سراسر جهان می‌توانند دچار این آسیب‌پذیری باشند. محققان Tenable با انتشار یک کد اثبات مفهوم نشان دادند که می‌توان پیکربندی تجهیز آسیب‌پذیر را تغییر داده و تلنت (telnet) را روی آن فعال کرد. پس از آن می‌توان از طریق shell، به تجهیز دسترسی root پیدا کرد.
علت این باگ این است که تعدادی فولدر در تجهیز وجود دارند که برای دسترسی به آنها احراز هویت انجام نمی‌شود. بنابراین در اکثر برندهای نامبرده می‌توان باگ را از طریق مسیرهای مختلف فعال کرد. اگر در یک تجهیز، صفحه http:///index.htm نیازمند احراز هویت باشد، مهاجم می‌تواند بدون احراز هویت و با استفاده از مسیرهای زیر به index.htm دسترسی پیدا کند:

 

• http:///images/..%2findex.htm
• http:///js/..%2findex.htm
• http:///css/..%2findex.htm

بات‌نت میرای

تنها سه روز پس از افشای آسیب‌پذیری، پژوهشگران شرکت جونیپر (Juniper Networks) اعلام کردند که سوء استفاده از این باگ را مشاهده کرده‌اند: «ما الگوهایی از حملات را شناسایی کردیم که سعی در بهره‌برداری از این آسیب‌پذیری در دنیای واقعی داشته‌اند و از یک IP در ووهان واقع در استان هوبی چین نشئت می‌گرفتند. به نظر می‌رسد مهاجم سعی دارد گونه‌ای از میرای (Mirai) را در مسیریاب‌های تحت تأثیر، قرار دهد.»
مهاجمان با پیروی از کد اثبات مفهوم، پیکربندی تجهیز را تغییر داده و تلنت را فعال می‌کنند تا کنترل تجهیز را به دست گیرند. سپس گونه‌ای از بدافزار میرای را از یک سرور کنترل و فرمان (C&C) دانلود و اجرا می‌کنند.
میرای بات‌نتی است که تجهیزات متصل به اینترنت را آلوده می‌کند و می‌تواند برای حملات منع سرویس توزیع شده به کار رود. این بات‌نت در سال 2016 به بمب خبری تبدیل شد، وقتی که سرورهای شرکت هاستینگ Dyn را زیر بار سنگین ترافیک قرار داد و بیش از 1200 وب‌سایت از جمله نت فلیکس و توییتر را از کار انداخت. بعداً در همان سال، کد منبع آن منتشر شد و در نتیجه گونه‌های مختلفی از روی آن ساخته شدند.
به گفته جونیپر، برخی اسکریپت‌های مورد استفاده در این حملات، دارای شباهت‌هایی با حملاتی هستند که در ماه فوریه و مارچ مشاهده شده بودند. این شباهت احتمالاً نشان‌دهنده این است که همان مهاجم قبلی، مسئول حمله اخیر است و سعی دارد این آسیب‌پذیری تازه کشف شده را به جعبه ابزار خود اضافه کند. از آنجا که اکثر افراد ممکن است از ریسک امنیتی این باگ مطلع نباشند و تجهیز خود را به زودی به‌روز نکنند، این روش حمله می‌تواند موفقیت‌آمیز، ارزان و آسان باشد.
علاوه بر باگ مذکور، محققان جونیپر کشف کردند که مهاجمان از آسیب‌پذیری‌های زیر نیز برای گرفتن دسترسی اولیه به تجهیزات استفاده می‌کنند:

• CVE-2020-29557 (مسیریاب‌های DLink)
• CVE-2021-1497 و CVE-2021-1498 (Cisco HyperFlex)
• CVE-2021-31755 (Tenda AC11)
• CVE-2021-22502 (MicroFocus OBR)
• CVE-2021-22506 (MicroFocus AM)

برای جلوگیری از حمله، کاربران باید ثابت‌افزار مسیریاب را به‌روز کنند. در مورد تجهیزات خانگی، بسیاری از کاربران، تخصص فنی ندارند و آنهایی که متخصص هستند نیز گاهی از آسیب‌پذیری‌ها و وصله‌های مربوط مطلع نمی‌شوند. بنابراین، تنها راه حل مطمئن این است که تولیدکنندگان به انتشار به‌روزرسانی خودکار ملزم شوند.

 

منبع: threat post

 

کلمات کلیدی