روترهای میکروتیک اطلاعات کاربران را به مهاجمان ارسال می‌کنند

امنیت

بررسی کلی

شرکت لتونیایی میکروتیک (MikroTik)، در سال ۱۹۹۶ برای توسعه روترها و سیستم‌های بی‌سیم ISP تأسیس شد. میکروتیک هم‌اکنون در سرتاسر جهان، سخت‌افزار و نرم‌افزار اتصال به اینترنت عرضه می‌کند. در سال ۱۹۹۷، میکروتیک سیستم نرم‌افزاری RouterOS را خلق کرد. در سال ۲۰۰۲، میکروتیک تصمیم گرفت سخت‌افزار اختصاصی خود را بسازد و برند RouterBOARD را ایجاد کرد. هر دستگاه RouterBOARD، از سیستم نرم‌افزاری RouterOS بهره می‌برد.

مقاله‌های مرتبط:

بنابر اسناد Vault7 که WikiLeaks منتشر کرده است، ابزار هک CIA، شیمِی قرمز (Chimay Red)، از دو حفره امنیتی در (Winbox (CVE-2018-14847 و Webfig استفاده می‌کند.

Winbox و Webfig هردو از اجزای مدیریتی RouterOS اند. Winbox یک نرم‌افزار مبتنی بر ویندوز و دارای رابط گرافیکی (GUI) است؛ در حالی که Webfig مبتنی بر وب عمل می‎‌کند. پورت‌‌های مشترک این دو نرم‌افزار TCP/8291، TCP/80 و TCP/8080 هستند.

سیستم‌های هانی‌پات، طعمه‌هایی برای شناسایی و انحراف حملات سایبری و خنثی‌سازی دسترسی‌های غیرمجاز هستند. از اواسط جولای (تیر)، سیستم هانی‌پات انگلرفیش (Anglerfish Honeypot System)، بدافزاری را که از نفوذپذیری CVE-2018-14847 استفاده می‌کرد تا فعالیت‌های مخرب گسترده‌ای را اجرا کند، شناسایی کرد. محققین امنیت برخی دیگر از این قبیل فعالیت‌ها مثل تزریق کد استخراج ارز دیجیتال به روش کوین‌هایو (CoinHive) را ردیابی کرده‌ بودند.

مهاجمان بیش از ۷۵۰۰ روتر میکروتیک را شنود می‌کنند

همچنین تعداد زیادی از افراد مشاهده شده‌اند که پروکسی ساکس۴ (Socks4) بر روی دستگاهشان توسط عاملی مشکوک فعال شده‌ است.

جالب‌تر آنکه ترافیک بیش از ۷۵۰۰ نفر به آی‌پی‌هایی که توسط مهاجمان ناشناس کنترل می‌شوند، ارسال می‌شود و بدین ترتیب این افراد شنود می‌شوند.

دستگاه‌های آسیب‌پذیر

از بین ۵ میلیون دستگاه ثبت‌شده با پورت TCP/8291 باز، ۱۲۰۰۰۰۰ (یک میلیون و دویست هزار) دستگاه متعلق به میکروتیک هستند که از این بین، ۳۷۰۰۰۰ (سیصد و هفتاد هزار) دستگاه (۳۰.۸۳%) به CVE-2018-14847، آسیب‌پذیرند.

نقشه آسیب پذیری میکروتیک

نقشه گسترش آسیب‌پذیری RouterOS

کشور	تعداد دستگاه‌ها
برزیل	۴۲۳۷۶
روسیه	۴۰۷۴۲
اندونزی	۲۲۴۴۱
هند	۲۱۸۳۷
ایران	۱۹۳۳۱
ایتالیا	۱۶۵۴۳
لهستان	۱۴۳۵۷
ایالات متحده	۱۴۰۰۷
تایلند	۱۲۸۹۸
اوکراین	۱۲۷۲۰
چین	۱۱۱۲۴
اسپانیا	۱۰۸۴۲
آفریقای جنوبی	۸۷۵۸
جمهوری چک	۸۶۲۱
آرژانتین	۶۸۶۹
کلمبیا	۶۴۷۴
کامبوج	۶۱۳۴
بنگلادش	۵۵۱۲
اکوادور	۴۸۵۷
مجارستان	۴۱۶۲

بیشترین دستگاه‌های آسیب‌پذیر به تفکیک کشور

حملات

تزریق کد استخراج ارز دیجیتال به روش CoinHive

بعد از فعال‌سازی پروکسی HTTP در RouterOS، مهاجم از حقه‌ای استفاده کرده و تمامی درخواست‌های پروکسی HTTP را به یک صفحه‌ی لوکال ارور ۴۰۳ هدایت می‌کند. در این صفحه‌ی ارور، لینکی از coinhive.com برای استخراج (mining) ارز دیجیتال درج شده است. با این کار مهاجم امیدوار است تا بر روی تمامی ترافیک پروکسی دستگاه کاربر، استخراج انجام دهد.

روتر میکروتیک

نکته قابل توجه این است که کد ماینینگ به این صورت عمل نمی‌کند. تمامی منابع خارجی وب، از جمله منابع coinhive.com که برای استخراج ارز دیجیتال مورد نیاز است، توسط (ACL (Access Control Listهای پروکسی که توسط خود مهاجمان تعبیه شده‌، مسدود می‌شود.

# curl -i --proxy http://192.168.40.147:8080 http://netlab.360.com
HTTP/1.0 403 Forbidden  
Content-Length: 418  
Content-Type: text/html  
Date: Sat, 26 Aug 2017 03:53:43 GMT  
Expires: Sat, 26 Aug 2017 03:53:43 GMT  
Server: Mikrotik HttpProxy  
Proxy-Connection: close

  
  
   
   "http://netlab.360.com/"

ЩѕШ±Щ€Ъ©ШіЫЊ ШіШ§Ъ©Ші Ыґ Щ€ 95.154.216.128/25 Ш§ШіШ±Ш§Ш±ШўЩ…ЫЊШІ

ШЇШ± ШШ§Щ„ ШШ§Ш¶Ш±ШЊ ЩѕШ±Щ€Ъ©ШіЫЊ ШіШ§Ъ©Ші Ыґ ШЁШ± Ш±Щ€ЫЊ ЫІЫіЫ№ Щ‡ШІШ§Ш± ШЇШіШЄЪЇШ§Щ‡ ШЁЩ‡вЂЊШ·Щ€Ш± Щ…ШґЪ©Щ€Ъ©ЫЊ ЩЃШ№Ш§Щ„ Ш§ШіШЄ. ШіШ§Ъ©Ші Ыґ Щ…Ш№Щ…Щ€Щ„Ш§Щ‹ Ш§ШІ ЩѕЩ€Ш±ШЄ TCP/4153 Ш§ШіШЄЩЃШ§ШЇЩ‡ Щ…ЫЊвЂЊЪ©Щ†ШЇ. ШЄЩ†ШёЫЊЩ…Ш§ШЄ ЩѕШ±Щ€Ъ©ШіЫЊ ШіШ§Ъ©Ші Ыґ ЩЃЩ‚Ш· Ш§Ш¬Ш§ШІЩ‡ Ш§ШЄШµШ§Щ„ Ш§ШІ ШўЫЊвЂЊЩѕЫЊвЂЊЩ‡Ш§ЫЊ 95.154.216.128/25 Ш±Ш§ Щ…ЫЊвЂЊШЇЩ‡ШЇ. Щ…Щ‡Ш§Ш¬Щ…Ш§Щ† ШЁШ±Ш§ЫЊ ШЁЩ‡вЂЊШЇШіШЄвЂЊШўЩ€Ш±ШЇЩ† Щ…Ш¬ШЇШЇ Ъ©Щ†ШЄШ±Щ„ ШЁШ№ШЇ Ш§ШІ Ш±ЫЊШЁЩ€ШЄ ШЇШіШЄЪЇШ§Щ‡ (ШЄШєЫЊЫЊШ± ШўЫЊвЂЊЩѕЫЊ)ШЊ ШЇШіШЄЪЇШ§Щ‡ Ш±Ш§ Ш·Щ€Ш±ЫЊ ШЄЩ†ШёЫЊЩ… Щ…ЫЊвЂЊЪ©Щ†Щ†ШЇ ШЄШ§ ШЁЩ‡вЂЊШ·Щ€Ш± ШІЩ…Ш§Щ†вЂЊШЁЩ†ШЇЫЊвЂЊШґШЇЩ‡ ШўШ®Ш±ЫЊЩ† ШўЫЊвЂЊЩѕЫЊ Ш±Ш§ ШЁШ§ Ш§ШЄШµШ§Щ„ ШЁЩ‡ ШўШЇШ±Ші (URL) Щ…Ш®ШµЩ€Шµ Щ…Щ‡Ш§Ш¬Щ… ЪЇШІШ§Ш±Шґ Ъ©Щ†ШЇ.

Щ‡Щ…Ъ†Щ†ЫЊЩ† Щ…Щ‡Ш§Ш¬Щ… ШЁШ§ Ш§ШіШЄЩЃШ§ШЇЩ‡ Ш§ШІ Ш§ЫЊЩ† ЩѕШ±Щ€Ъ©ШіЫЊ ШіШ§Ъ©ШіЫґ ШўШіЫЊШЁвЂЊЩѕШ°ЫЊШ±ШЊ ШЁЩ‡вЂЊШЇЩ†ШЁШ§Щ„ ШЇШіШЄЪЇШ§Щ‡вЂЊЩ‡Ш§ЫЊ RouterOS ШЁЫЊШґШЄШ±ЫЊ Щ…ЫЊвЂЊЪЇШ±ШЇШЇ.

Щ‡Щ…вЂЊШ§Ъ©Щ†Щ€Щ†ШЊ ШЄЩ…Ш§Щ…ЫЊ ЫІЫіЫ№ Щ‡ШІШ§Ш± ШЇШіШЄЪЇШ§Щ‡ ЩЃЩ‚Ш· Ш§Ш¬Ш§ШІЩ‡ ШЇШіШЄШ±ШіЫЊ Ш§ШІ 95.154.216.128/25 (ШєШ§Щ„ШЁШ§Щ‹ 95.154.216.167) Ш±Ш§ Щ…ЫЊвЂЊШЇЩ‡Щ†ШЇ. ЩѕЫЊ ШЁШ±ШЇЩ† ШЁЩ‡ Щ‚ШµШЇ Щ…Щ‡Ш§Ш¬Щ…Ш§Щ† Ш§ШІ Ш§ЫЊЩ† ШЄШ№ШЇШ§ШЇ ЩѕШ±Щ€Ъ©ШіЫЊвЂЊ ШіШ§Ъ©Ші Ыґ ШЇШґЩ€Ш§Ш± Ш§ШіШЄ.

ШґЩ†Щ€ШЇ

ШЇШіШЄЪЇШ§Щ‡вЂЊЩ‡Ш§ЫЊ RouterOS ШЁЩ‡ Ъ©Ш§Ш±ШЁШ±Ш§Щ† Ш§Ш¬Ш§ШІЩ‡ Щ…ЫЊвЂЊШЇЩ‡ШЇ ШЄШ§ ШЁШіШЄЩ‡вЂЊвЂЊЩ‡Ш§ЫЊ (Packet) Ш±Щ€ШЄШ± Ш±Ш§ ЪЇШ±ЩЃШЄЩ‡ Щ€ Ш§ЫЊЩ† ШЄШ±Ш§ЩЃЫЊЪ© Ш±Ш§ ШЁЩ‡ ЫЊЪ© ШіШ±Щ€Ш± Ш®Ш§Шµ Ш§Ш±ШіШ§Щ„ Ъ©Щ†Щ†ШЇ. Щ…Щ‡Ш§Ш¬Щ…Ш§Щ†ШЊ ШЄШ±Ш§ЩЃЫЊЪ© Ы·.Ыµ Щ‡ШІШ§Ш± ШЇШіШЄЪЇШ§Щ‡ RouterOS Ш±Ш§ ШЁЩ‡ ЫЊЪ© ШіШ±ЫЊ IPЩ‡Ш§ЫЊ Ш¬Щ…Ш№вЂЊЪ©Щ†Щ†ШЇЩ‡ Ш§Ш±ШіШ§Щ„ Щ…ЫЊвЂЊЪ©Щ†Щ†ШЇ. ШЇШ± ШЁЫЊЩ† Ш§ЫЊЩ† ШўЫЊвЂЊЩѕЫЊвЂЊЩ‡Ш§ШЊ 37.1.207.114 Щ†Щ‚Шґ ЩѕШ±Ш±Щ†ЪЇвЂЊШЄШ±ЫЊ ШЇШ§ШґШЄЩ‡ Щ€ ШЄШ±Ш§ЩЃЫЊЪ© Щ‚Ш§ШЁЩ„ ШЄЩ€Ш¬Щ‡ЫЊ Ш§ШІ ШЇШіШЄЪЇШ§Щ‡вЂЊЩ‡Ш§ ШЁЩ‡ Ш§ЫЊЩ† Щ…Щ‚ШµШЇ Ш§Ш±ШіШ§Щ„ Щ…ЫЊвЂЊШґЩ€ШЇ.

Щ…Щ‡Ш§Ш¬Щ…Ш§Щ† ШЁЫЊШґШЄШ± ШЁЩ‡ ЩѕЩ€Ш±ШЄвЂЊЩ‡Ш§ЫЊ ЫІЫ°ШЊ ЫІЫ±ШЊ ЫІЫµШЊ Ы±Ы±Ы° Щ€ Ы±ЫґЫі Ш№Щ„Ш§Щ‚Щ‡ ШЇШ§Ш±Щ†ШЇ. Ш§ЫЊЩ† ЩѕЩ€Ш±ШЄ Щ‡Ш§ ШЁЩ‡ FTPШЊ SMTPШЊ POP3 Щ€ IMAP Щ…Ш±ШЁЩ€Ш· Ш§Щ†ШЇ. Щ‡Щ…Ъ†Щ†ЫЊЩ† ЩѕЩ€Ш±ШЄвЂЊЩ‡Ш§ЫЊ Ы±Ы¶Ы± Щ€ Ы±Ы¶ЫІШЊ Ъ©Щ‡ Щ…Ш±ШЁЩ€Ш· ШЁЩ‡ SNMP Щ‡ШіШЄЩ†ШЇШЊ Ш¬ШІЩ€ ЩѕЩ€Ш±ШЄвЂЊЩ‡Ш§ЫЊ Щ…ШШЁЩ€ШЁ Щ…Щ‡Ш§Ш¬Щ…Ш§Щ† Щ…ШШіЩ€ШЁ Щ…ЫЊвЂЊШґЩ€Щ†ШЇ. ШіЩ€Ш§Щ„ЫЊ Ъ©Щ‡ ЩѕЫЊШґ Щ…ЫЊвЂЊШўЫЊШЇ Ш§ЫЊЩ† Ш§ШіШЄ Ъ©Щ‡ Ъ†Ш±Ш§ Щ…Щ‡Ш§Ш¬Щ…Ш§Щ† ЩѕШ±Щ€ШЄЪ©Щ„ SNMP Ш±Ш§ШЊ Ъ©Щ‡ ШЁЩ‡ Щ†ШЇШ±ШЄ ШЄЩ€ШіШ· Ъ©Ш§Ш±ШЁШ±Ш§Щ† Ш§ШіШЄЩЃШ§ШЇЩ‡ Щ…ЫЊвЂЊШґЩ€ШЇШЊ Щ…Щ€Ш±ШЇ Щ‡ШЇЩЃ Щ‚Ш±Ш§Ш± ШЇШ§ШЇЩ‡вЂЊШ§Щ†ШЇШџ ШўЫЊШ§ ШўЩ†вЂЊЩ‡Ш§ Щ‚ШµШЇ ШґЩ†Щ€ШЇ Ш§Ш·Щ„Ш§Ш№Ш§ШЄ Ш§ШІ Ъ©Ш§Ш±ШЁШ±Ш§Щ† Ш®Ш§ШµЫЊ вЂЊШ±Ш§ ШЇШ§Ш±Щ†ШЇШџ Щ‡Щ†Щ€ШІ ЩѕШ§ШіШ® Ш§ЫЊЩ† ШіЩ€Ш§Щ„ Щ…Ш№Щ„Щ€Щ… Щ†ЫЊШіШЄ.

ШўЫЊвЂЊЩѕЫЊ Ш¬Щ…Ш№вЂЊЪ©Щ†Щ†ШЇЩ‡	ШЄШ№ШЇШ§ШЇ ШЇШіШЄЪЇШ§Щ‡вЂЊЩ‡Ш§
37.1.207.114	ЫґЫІЫіЫ·Ы¶
185.69.155.23	ЫґЫ°Ы·ЫґЫІ
188.127.251.61	ЫІЫІЫґЫґЫ±
5.9.183.69	ЫІЫ±ЫёЫіЫ·
77.222.54.45	Ы±Ы№ЫіЫіЫ±
103.193.137.211	Ы±Ы¶ЫµЫґЫі
24.255.37.1	Ы±ЫґЫіЫµЫ·
45.76.88.43	Ы±ЫґЫ°Ы°Ы·
206.255.37.1	Ы±ЫІЫёЫ№Ыё

ШЁШ±ШЄШ±ЫЊЩ† Щ…Щ‡Ш§Ш¬Щ…Ш§Щ†

ЩѕЩ€Ш±ШЄ	ШЄШ№ШЇШ§ШЇ ШЇШіШЄЪЇШ§Щ‡вЂЊЩ‡Ш§
ЫІЫ±	ЫµЫёЫіЫ·
Ы±ЫґЫі	ЫµЫёЫіЫІ
Ы±Ы±Ы°	ЫµЫ·ЫёЫґ
ЫІЫ°	ЫґЫ±Ы¶Ыµ
ЫІЫµ	ЫІЫёЫµЫ°
ЫІЫі	Ы±ЫіЫІЫё
Ы±ЫµЫ°Ы°	Ы±Ы±Ы±Ыё
ЫёЫ°ЫёЫі	Ы±Ы°Ы№Ыµ
ЫіЫіЫіЫі	Ы№Ы№Ыі
ЫµЫ°Ы°Ы°Ы±	Ы№ЫёЫґ
ЫёЫµЫґЫµ	Ы№ЫёЫІ
Ы±Ы¶Ы±	Ы¶Ы·Ы·
Ы±Ы¶ЫІ	Ы¶Ы·Ыі
ЫіЫіЫ°Ы¶	ЫіЫµЫµ
ЫёЫ°	ЫІЫёЫІ
ЫёЫ°ЫёЫ°	ЫІЫґЫі
ЫёЫ°ЫёЫ±	ЫІЫіЫ·
ЫёЫ°ЫёЫІ	ЫІЫіЫ°
ЫµЫі	Ы±Ы¶Ыё
ЫІЫ°ЫґЫё	Ы±Ы¶Ы·

ЩѕЩ€Ш±ШЄвЂЊЩ‡Ш§ЫЊ ШґЩ†Щ€ШЇ ШґШЇЩ‡

Ъ©ШґЩ€Ш±	ШЄШ№ШЇШ§ШЇ IPЩ‡Ш§
Ш±Щ€ШіЫЊЩ‡	Ы±Ы¶ЫІЫё
Ш§ЫЊШ±Ш§Щ†	Ы¶ЫіЫ·
ШЁШ±ШІЫЊЩ„	Ы¶Ы±Ыµ
Щ‡Щ†ШЇ	ЫµЫ№Ыґ
Ш§Щ€Ъ©Ш±Ш§ЫЊЩ†	ЫµЫґЫґ
ШЁЩ†ЪЇЩ„Ш§ШЇШґ	ЫіЫ·Ыµ
Ш§Щ†ШЇЩ€Щ†ШІЫЊ	ЫіЫ¶Ыґ
Ш§Ъ©Щ€Ш§ШЇЩ€Ш±	ЫІЫ±Ыё
Ш§ЫЊШ§Щ„Ш§ШЄ Щ…ШЄШШЇЩ‡	Ы±Ы№Ы±
ШўШ±Ъ

محمد بختیاری