امنیت

اینترنت و شبکه

February 19, 2014
3:49 چهارشنبه، 30ام بهمنماه 1392
کد خبر: 60926

آلوده شدن روترها با یک کرم

یک برنامه مخرب با سوءاستفاده از آسیب‌پذیری دور زدن تایید هویت در نسخه‌های مختلف محصولات سری E تولیدکننده Linksys، مسیریاب‌های این شرکت را آلوده کرده است.
 
 
هفته گذشته محققان مرکز SANS هشدار دادند که رخدادهایی در مسیریاب‌های E1000 و E1200 به وقع پیوسته است و این مسیریاب‌ها در حال اسکن کردن آدرس IPهای دیگر برروی پورت‌های 80 و 8080 هستند.
 
روز پنج‌شنبه محققان ISC گزارش دادند که بدافزاری را شناسایی کردند که عامل رخداد اخیر مسیریاب‌های Linksys بوده است.
 
به نظر می‌رسد که این حملات بواسطه یک کرم صورت گرفته است که با سوء استفاده از آسیب پذیری موجود در مسیریاب‌های Linksys در حال پیدا کردن دستگاه‌های آسیب پذیر دیگر بوده است.
 
کارشناس ارشد فناوری در SANS ISC اظهار کرده است که در این مرحله ما مطلعیم کرمی بر روی مدل‌های مختلف مسیریاب‌های Linksys در حال گسترش است. ما فهرست نهایی مسیریاب‌های آسیب پذیر را در اختیار نداریم اما مسیریاب‌های E4200، E3200
 
E3000، E2500، E2100L، E2000، E1550، E1500، E1200، E1000 و E900 بنا به نسخه میان افزارشان ممکن است آسیب پذیر باشند.
 
بنا بر اعلام مرکز ماهر، این کرم با نام 'The Moon' شناخته می‌شود و با ارسال درخواست HNAP، نسخه میان افزار و مدل مسیریاب را شناسایی می کند. پروتکل HNAP پروتکل مدیریتی شبکه خانگی است که توسط شرکت سیسکو طراحی شده است و اجازه می دهد تا دستگاه های شبکه شناسایی، پیکربندی و مدیریت شوند.
 
این کرم پس از شناسایی دستگاه، در صورتی که تعیین کرد دستگاه مزبور آسیب‌پذیر است درخواست دیگری را در قالب اسکریپت خاص CGI ارسال می کند تا بتواند دستورات محلی را بر روی دستگاه اجرا کند.
 
این کرم از آسیب‌پذیری موجود سوءاستفاده می‌کند تا یک فایل باینری در قالب ELF را بر روی دستگاه آسیب پذیر دانلود و اجرا کند. زمانی که این فایل بر روی مسیریاب جدیدی اجرا می‌شود، این فایل باینری شبکه را به منظور آلوده کردن دستگاه‌های جدید اسکن می کند.
 
در این فایل باینری تعدادی رشته وجود دارد که مشخص کننده یک سرور کنترل و فرمان است و می‌تواند به عنوان یک تهدید بات نتی در نظر گرفته شود که توسط مهاجمان از راه دور کنترل می شود.
 
سخنگوی شرکت Linksys از طریق یک پست الکترونیکی اعلام کرد که این شرکت از وجود این آسیب‌پذیری در برخی از مسیریاب‌های سری E باخبر است و درحال رفع مشکل است.
 
او همچنین به برخی از روش‌های کاهش خطر اشاره کرد. اول آنکه مسیریاب‌هایی که برای مدیریت از راه دور پیکربندی نشده‌اند نمی‌توانند به طور مستقیم هدف این حمله قرار گیرند. اگر مسیریابی باید از راه دور مدیریت شود باید برای کاهش خطر، دسترسی ها به واسط مدیریتی را بوسیله آدرس IP محدود کرد. هم چنین تغییر پورت واسط به پورتی غیر از 80 و 8080 می تواند مانع از وقوع این حمله شود.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.