۲۷۷۰۰۰ روتر از طریق UPnP در معرض حملات Eternal Silence قرار گرفتند

دسته بندی ها : اخبار ۱۳ بهمن ۱۴۰۰ آپا دانشگاه تبریز 144 بازدید
277000 روتر از طریق UPnP در معرض حملات Eternal Silence قرار گرفتند

یک کمپین مخرب معروف به Eternal Silence با سوء استفاده از Universal Plug and Play (UPnP) روتر شما را به یک سرور پراکسی تبدیل می‌کند که برای راه اندازی حملات مخرب استفاده می‌شود در حالی که مکان حمله کننده را پنهان نگه می‌دارد.

UPnP یک پروتکل اتصال است که به صورت اختیاری در مدرن‌ترین روترها موجود است. این پروتکل به سایر دستگاه‌های موجود در شبکه اجازه می‌دهد تا قوانین ارسال پورت را به صورت خودکار روی روتر ایجاد کنند. این به دستگاه‌های  کنترل از راه دور اجازه می‌دهند تا در صورت لزوم با تنظیمات جزئی که توسط کاربر مورد نیاز است، به یک ویژگی نرم‌افزاری خاص یا دستگاه دسترسی داشته باشند.

با این حال، این فناوری دیگری است که “راحتی” را با “امنیت” مبادله می‌کند، به خصوص زمانی که پیاده سازی UPnP به طور بالقوه در برابر حملات آسیب پذیر است و به کاربران راه دور اجازه می‌دهد تا ورودی‌های ارسال پورت UPnP را از طریق اتصال WAN در معرض دستگاه اضافه کنند.

محققان Akamai کاربرانی  را مشاهده کرده‌اند که از این آسیب‌پذیری برای ایجاد پراکسی‌هایی سوء استفاده می‌کنند که عملیات مخرب خود را پنهان می‌سازند. آن‌ها این حمله را UPnProxy نامیده‌اند.

از ۳,۵۰۰,۰۰۰ روتر UPnP که به صورت آنلاین یافت شده است، ۲۷۷,۰۰۰ در برابر UPnProxy آسیب پذیر هستند و ۴۵,۱۱۳ از آن‌ها قبلاً توسط هکرها آلوده شده‌اند.

خانواده جدیدی از تزریق‌ها

تحلیلگران Akamai حدس می زنند که حمله کنندگان تلاش می‌کنند از EternalBlue (CVE-2017-0144) و EternalRed (CVE-2017-7494) به ترتیب بر روی سیستم‌های ویندوز و لینوکس وصله نشده سوء‌استفاده نمایند.

استفاده از این نقص‌ها می‌تواند منجر به مجموعه‌ای از مشکلات بالقوه شود. آلودگی‌های کریپتوماینر مصرف کننده منابع، حملات worm-مانند ویرانگر که به سرعت به کل شبکه‌های شرکتی گسترش می‌یابد، یا دسترسی اولیه به شبکه‌های شرکتی از این دسته مشکلات هستند.

rulesetهای جدید تعریف شده توسط هکرها حاوی عبارت “galleta silenciosa” است که به معنای “کوکی خاموش” به زبان اسپانیایی است.

خانواده جدیدی از تزریق‌ها

این تزریق‌ها تلاش می‌کنند تا پورت‌های TCP 139 و ۴۴۵ را روی دستگاه‌های متصل به روتر مورد هدف قرار دهند. تقریباً ۱۷۰۰۰۰۰ دستگاهی که خدمات SMB را اجرا می‌کنند.

Akamai در مورد میزان موفقیت این کمپین مطمئن نیست، اما یک رویکرد سیستماتیک برای اسکن‌ها مشاهده کرد و دستگاه‌هایی را هدف قرار داد که از پورت‌ها و مسیرهای ثابت برای دیمن‌های UPnP خود برای تزریق Port Forwardها استفاده می‌کنند.

اکسپلویت‌های Eternal

تحلیلگران Akamai حدس می‌زنند که حمله‌کنندگان در تلاش‌اند ازEternalBlue  وEternalRed  به ترتیب بر روی سیستم‌های ویندوز و لینوکس وصله نشده سوءاستفاده کنند.

استفاده از این نقص‌ها می‌تواند منجر به مجموعه‌ای از مشکلات بالقوه شود. آلودگی‌های کریپتوماینر مصرف کننده منابع، حملات worm-مانند ویرانگر که به سرعت به کل شبکه‌های شرکتی گسترش می‌یابد، یا دسترسی اولیه به شبکه‌های شرکتی از این دسته مشکلات هستند.

گزارشگر  Akamai می‌گوید: «این احتمال وجود دارد که ماشین‌های آسیب‌پذیر فقط به این دلیل که مستقیماً در معرض اینترنت قرار نگرفته‌اند، تحت‌تأثیر دور اول حملات EternalBlue و EternalRed نبودند. آن‌ها در یک پناهگاه نسبتا امن و پشت NAT زندگی می‌کنند. »

«حملات EternalSilence این حفاظت ضمنی ارائه شده توسط NAT را به طور کامل از معادله حذف می‌کند و احتمالاً مجموعه جدیدی از قربانیان را در معرض همان اکسپلویت‌های قدیمی قرار می‌دهد. »

دفاع در برابر EternalSilence

” EternalSilence” یک حمله بسیار حیله گرانه است زیرا عمل تقسیم‌بندی (segmentation) شبکه را بی اثر می‌کند و هیچ نشانه ای از آنچه برای قربانی اتفاق می‌افتد ارائه نمی‌دهد.

بهترین راه برای تعیین این که آیا دستگاه‌های شما آلوده شده‌اند یا خیر، اسکن تمام نقاط پایانی و بررسی ورودی‌های جدول NAT است.

راه های زیادی برای انجام این کار وجود دارد، اما Akamai اسکریپتی را ارائه کرده است (تصویر زیر) که به راحتی می‌تواند در برابر یک URL احتمالا آسیب‌پذیر اجرا شود.

دفاع در برابر EternalSilence

اگر دستگاهی را پیدا کرده‌اید که با EternalSilence مواجه شده است، غیرفعال کردن UPnP تزریق‌های NAT موجود را پاک نمی‌کند. در عوض، کاربران باید دستگاه را ریست یا فلش کنند.

همچنین، اعمال آخرین به‌روزرسانی سیستم عامل باید در اولویت باشد، زیرا ممکن است فروشنده دستگاه هرگونه نقص اجرای UPnP را از طریق به‌روزرسانی امنیتی برطرف کرده باشد.

 

اخبار آسیب‌پذیری‌های ایران و جهان را از وبسایت آپا دانشگاه تبریز، بخش آسیب‌پذیری‌ها دنبال کنید.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :