آسیب پذیری پیشین شرکت میکروتیک
تجهیزات ارتباطی شرکت # میکروتیک به ویژه روترهای تولید این شرکت در کشور و عموماً در شبکههای کوچک و متوسط بسیار مورد استفاده قرار دارند. از ابتدای سال جاری، چندین # آسیبپذیری حیاتی در این تجهیزات شناسایی و منتشر گردید. اهمیت این آسیبپذیریها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور، و دسترسی به محتوای نرافیک عبوری از روتر را فراهم میکند. از جمله مخاطرات دسترسی به ترافیک عبوری، می توان به امکان شنود و بررسی ترافیک شبکه قربانی بر روی پروتکل های SMB,HTTP,SMTP,FTP,…اشاره کرده که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان بدست آوردن تمامی رمز های عبور که به صورت متن آشکار در حال تبادل در شبکه قربانی می باشد را فراهم می کند. با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیبپذیری آنها، مرکز ماهر از ابتدای سال حداقل ۶ مرتبه اطلاعیه و هشدار جدی عمومی از طریق وبسایت و شبکه تعاملی منتشر نموده است.
با رصد انجام شده تعداد دستگاه های فعال میکروتیک در تاریخ ۱۰ مرداد ماه ۱۳۹۷ در کشور برابر با ۶۹،۸۰۵ عدد بوده است. تعداد دستگاه های آسیب پذیر شناسایی شده توسط مرکز ماهر در تاریخ ۱۴ مرداد ۱۳۹۷ تعداد ۱۶،۱۱۴ عدد بوده است که تمامی این ۱۶ هزار دستگاه در معرض نفوذ قرار داشتند. اطلاع رسانی چندین باره مرکز ماهر، درباره ضرورت بروزرسانی و انجام اقدامات لازم جهت جلوگیری و گسترش این تهدید صورت گرفته است. علاوه بر این اقداماتی چون قطع ارتباط از خارج کشور به دستگاههایداخل کشور شامل پورت ۸۲۹۱ (winbox) توانست تا حدی مانع افزایش تعداد قربانیان گردد.
با وجود همهی اقدامات صورت گرفته متاسفانه مشاهده شد به دلیل عدم همکاری مالکین این تجهیزات به ویژه شرکتهای خدمات اینترنتی که مالک یا بهره بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیبپذیر میباشند. بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمین مختلف قرار گرفته است.
در موج اخیر حمله و سوءاستفاده از تجهیزات آسیبپذیر میکروتیک، مهاجمین با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهرهبرداری میکنند، این حملات اصطلاحاً CryptoJackingنام دارد. با رسانه ای شدن خبر آلودگی بیش از ۷۰ هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیب پذیری های دستگاههای میکروتیک اینبار با هدف بهره برداری ارزکاوی آغاز شد. همزمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور نمود که در اولین مشاهدات تعداد ۱۵۷ دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد. برای جلوگیری از افزایش خسارات ناشی از این حملات، مرکز ماهر اقدام به انتشار چندین اطلاعیه و ارایه راهکاری های کنترلی نمود. اما به دلیل عدم توجه کافی به هشدارها و اطلاعیه های مرکز ماهر و توجه نشان دادن هکر ها به این نوع حملات و همچنین آلوده سازی دستگاهها توسط فرآیند خودکار شاهد افزایش روز افزون تعداد دستگاههای آلوده شده در کشور هستیم. روند صعودی این حمله در نمودار زیر نمایش داده شده است. همانطور که در بخش هایی از نمودار مشاهده می شود، در روزهای اخیر این روند صعودی تسریع شده و به صورت ساعتی در حال افزایش تعداد قربانیان می باشد.
ا لحظه نگارش این گزارش بیش از ۱۷،۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است.در حال حاضر از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست. بررسی های کارشناسان مرکز ماهر حاکی از این نکته است که منشاء حملات این ۱۷،۴۵۲ دستگاه حداکثر ۲۴ مهاجم می باشند.
نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمین و سرقت رمز عبور و اخذ دسترسی، حتی بعد از بروزرسانی firmwareنیز همچنان در کنترل مهاجمین قرار دارند. شرکتهای بزرگ و کوچک ارائه خدمات اینترنت و شماری از سازمانها و دستگاههای دولتی از جمله قربانیان این حمله هستند.
دستورالعمل پاکسازی دستگاههای آلوده
با درنظر گرفتن این شرایط، لازم است به منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیبپذیری مجدد، اقدامات زیر صورت پذیرد:
تجهیزات ارتباطی شرکت # میکروتیک به ویژه روترهای تولید این شرکت در کشور و عموماً در شبکههای کوچک و متوسط بسیار مورد استفاده قرار دارند. از ابتدای سال جاری، چندین # آسیبپذیری حیاتی در این تجهیزات شناسایی و منتشر گردید. اهمیت این آسیبپذیریها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور، و دسترسی به محتوای نرافیک عبوری از روتر را فراهم میکند. از جمله مخاطرات دسترسی به ترافیک عبوری، می توان به امکان شنود و بررسی ترافیک شبکه قربانی بر روی پروتکل های SMB,HTTP,SMTP,FTP,…اشاره کرده که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان بدست آوردن تمامی رمز های عبور که به صورت متن آشکار در حال تبادل در شبکه قربانی می باشد را فراهم می کند. با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیبپذیری آنها، مرکز ماهر از ابتدای سال حداقل ۶ مرتبه اطلاعیه و هشدار جدی عمومی از طریق وبسایت و شبکه تعاملی منتشر نموده است.
با رصد انجام شده تعداد دستگاه های فعال میکروتیک در تاریخ ۱۰ مرداد ماه ۱۳۹۷ در کشور برابر با ۶۹،۸۰۵ عدد بوده است. تعداد دستگاه های آسیب پذیر شناسایی شده توسط مرکز ماهر در تاریخ ۱۴ مرداد ۱۳۹۷ تعداد ۱۶،۱۱۴ عدد بوده است که تمامی این ۱۶ هزار دستگاه در معرض نفوذ قرار داشتند. اطلاع رسانی چندین باره مرکز ماهر، درباره ضرورت بروزرسانی و انجام اقدامات لازم جهت جلوگیری و گسترش این تهدید صورت گرفته است. علاوه بر این اقداماتی چون قطع ارتباط از خارج کشور به دستگاههایداخل کشور شامل پورت ۸۲۹۱ (winbox) توانست تا حدی مانع افزایش تعداد قربانیان گردد.
با وجود همهی اقدامات صورت گرفته متاسفانه مشاهده شد به دلیل عدم همکاری مالکین این تجهیزات به ویژه شرکتهای خدمات اینترنتی که مالک یا بهره بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیبپذیر میباشند. بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمین مختلف قرار گرفته است.
در موج اخیر حمله و سوءاستفاده از تجهیزات آسیبپذیر میکروتیک، مهاجمین با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهرهبرداری میکنند، این حملات اصطلاحاً CryptoJackingنام دارد. با رسانه ای شدن خبر آلودگی بیش از ۷۰ هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیب پذیری های دستگاههای میکروتیک اینبار با هدف بهره برداری ارزکاوی آغاز شد. همزمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور نمود که در اولین مشاهدات تعداد ۱۵۷ دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد. برای جلوگیری از افزایش خسارات ناشی از این حملات، مرکز ماهر اقدام به انتشار چندین اطلاعیه و ارایه راهکاری های کنترلی نمود. اما به دلیل عدم توجه کافی به هشدارها و اطلاعیه های مرکز ماهر و توجه نشان دادن هکر ها به این نوع حملات و همچنین آلوده سازی دستگاهها توسط فرآیند خودکار شاهد افزایش روز افزون تعداد دستگاههای آلوده شده در کشور هستیم. روند صعودی این حمله در نمودار زیر نمایش داده شده است. همانطور که در بخش هایی از نمودار مشاهده می شود، در روزهای اخیر این روند صعودی تسریع شده و به صورت ساعتی در حال افزایش تعداد قربانیان می باشد.
ا لحظه نگارش این گزارش بیش از ۱۷،۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است.در حال حاضر از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست. بررسی های کارشناسان مرکز ماهر حاکی از این نکته است که منشاء حملات این ۱۷،۴۵۲ دستگاه حداکثر ۲۴ مهاجم می باشند.
نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمین و سرقت رمز عبور و اخذ دسترسی، حتی بعد از بروزرسانی firmwareنیز همچنان در کنترل مهاجمین قرار دارند. شرکتهای بزرگ و کوچک ارائه خدمات اینترنت و شماری از سازمانها و دستگاههای دولتی از جمله قربانیان این حمله هستند.
دستورالعمل پاکسازی دستگاههای آلوده
با درنظر گرفتن این شرایط، لازم است به منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیبپذیری مجدد، اقدامات زیر صورت پذیرد:
قطع ارتباط روتر از شبکه
بازگردانی به تنظیمات کارخانهای (Factory reset)
بروزرسانی firmwareبه آخرین نسخه منتشر شده توسط شرکت میکروتیک
تنظیم مجدد روتر
غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی صرفاً از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPNانجام گردد)
با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستمهای تحت کنترل خود تغییر دهید.
درصورتی که راهاندازی و تنظیم مجدد امکان پذیر نیست، می توان مراحل زیر را جهت پاکسازی روتر اجرا نمود. با این وجود همچنان روش فوق توصیه میگردد:
اعمال آخرین نسخه بروزرسانی بر روی دستگاه های میکروتیک
بررسی گروه های کاربری و حساب های دسترسی موجود
تغییر رمز عبور حساب های موجود و حذف نام های کاربری اضافی و بدون کاربرد
بررسی فایل های webproxy/error.htmlو flash/webproxy/error.html
حذف اسکریپت ارزکاوی(coinhive) از فایل
حذف هر گونه تگ اسکریپت اضافه فراخوانی شده در این فایل ها
حذف تمامی Scheduler Taskهای مشکوک
حذف تمامی اسکریپت های مشکوک در مسیر System/Script
حذف تمامی فایل های مشکوک در مسیر فایل سیستم و پوشه های موجود
بررسی تنظیمات بخش فایروال و حذف Ruleهای اضافی و مشکوک
اضافه کردن Ruleهایی برای اعمال محدودیت دسترسی از شبکه های غیرمجاز
بررسی جدول NATو حذف قوانین اضافی و مشکوک
غیرفعال کردن دسترسی Webو Telnet
محدود کردن دسترسی های مجاز به Winbox
غیرفعال کردن دسترسی به پورت های مدیریتی از خارج شبکه داخلی
بررسی تنظیمات بخش Snifferو غیرفعال کردن Captureو Streamingدر صورت عدم استفاده
غیرفعال کردن تنظیمات web proxyدر صورت عدم استفاده
غیرفعال کردن تنظیمات Socksدر صورت عدم استفاده
در ادامه به اطلاع میرساند فهرست کلیه تجهیزات آلودهی شناسایی شده به تفکیک شرکتها و سازمانهای مالک، به سازمان تنظیم مقررات رادیویی ارسال شده و تبعا درصورت عدم اقدام این شرکتها در راستای پاکسازی و رفع آسیبپذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.
@GilNSRChannel
بازگردانی به تنظیمات کارخانهای (Factory reset)
بروزرسانی firmwareبه آخرین نسخه منتشر شده توسط شرکت میکروتیک
تنظیم مجدد روتر
غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی صرفاً از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPNانجام گردد)
با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستمهای تحت کنترل خود تغییر دهید.
درصورتی که راهاندازی و تنظیم مجدد امکان پذیر نیست، می توان مراحل زیر را جهت پاکسازی روتر اجرا نمود. با این وجود همچنان روش فوق توصیه میگردد:
اعمال آخرین نسخه بروزرسانی بر روی دستگاه های میکروتیک
بررسی گروه های کاربری و حساب های دسترسی موجود
تغییر رمز عبور حساب های موجود و حذف نام های کاربری اضافی و بدون کاربرد
بررسی فایل های webproxy/error.htmlو flash/webproxy/error.html
حذف اسکریپت ارزکاوی(coinhive) از فایل
حذف هر گونه تگ اسکریپت اضافه فراخوانی شده در این فایل ها
حذف تمامی Scheduler Taskهای مشکوک
حذف تمامی اسکریپت های مشکوک در مسیر System/Script
حذف تمامی فایل های مشکوک در مسیر فایل سیستم و پوشه های موجود
بررسی تنظیمات بخش فایروال و حذف Ruleهای اضافی و مشکوک
اضافه کردن Ruleهایی برای اعمال محدودیت دسترسی از شبکه های غیرمجاز
بررسی جدول NATو حذف قوانین اضافی و مشکوک
غیرفعال کردن دسترسی Webو Telnet
محدود کردن دسترسی های مجاز به Winbox
غیرفعال کردن دسترسی به پورت های مدیریتی از خارج شبکه داخلی
بررسی تنظیمات بخش Snifferو غیرفعال کردن Captureو Streamingدر صورت عدم استفاده
غیرفعال کردن تنظیمات web proxyدر صورت عدم استفاده
غیرفعال کردن تنظیمات Socksدر صورت عدم استفاده
در ادامه به اطلاع میرساند فهرست کلیه تجهیزات آلودهی شناسایی شده به تفکیک شرکتها و سازمانهای مالک، به سازمان تنظیم مقررات رادیویی ارسال شده و تبعا درصورت عدم اقدام این شرکتها در راستای پاکسازی و رفع آسیبپذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.
@GilNSRChannel
✅ دومین رویداد #کتابکوک
دو کتاب "سختی کارهای سخت" و "صفر به یک" رو در نظر گرفتیم.
ثبت نام از طریق ایوند
lish.ir/1aTI
@GilNSRChannel
دو کتاب "سختی کارهای سخت" و "صفر به یک" رو در نظر گرفتیم.
ثبت نام از طریق ایوند
lish.ir/1aTI
@GilNSRChannel
کلاسه ؛ سیستم جامع مدیریت مدارس برتر کشور
(سیستم برگزیده همایش ملی فناوری اطلاعات کشور)
در سرار کشور نماینده فعال با درآمد بالا میپذیرد
برای کسب اطلاعات بیشتر با شماره زیر در تماس باشید :
سعید سجودی
۰۹۱۲۸۳۹۱۷۵۸
@GilNSRChannel
(سیستم برگزیده همایش ملی فناوری اطلاعات کشور)
در سرار کشور نماینده فعال با درآمد بالا میپذیرد
برای کسب اطلاعات بیشتر با شماره زیر در تماس باشید :
سعید سجودی
۰۹۱۲۸۳۹۱۷۵۸
@GilNSRChannel
AREVIK EXPO
فراخوان ثبت نام در پاویون اتحادیه صادرکنندگان و بازرگانان اتاق بازرگانی استان گیلان
ارمنستان - ایروان
4-7 May 2019
@GilNSRChannel
فراخوان ثبت نام در پاویون اتحادیه صادرکنندگان و بازرگانان اتاق بازرگانی استان گیلان
ارمنستان - ایروان
4-7 May 2019
@GilNSRChannel
AREVIK EXPO
فرم ثبت نام نمایشگاه ارویک ۲۰۱۹ ارمنستان
از طرف پاویون اتحادیه صادرکنندگان و بازرگانان اتاق بازرگانی استان گیلان
ارمنستان
4-7 May 2019
۱۴ الی ۱۷ اردیبهشت ۱۳۹۸
@GilNSRChannel
فرم ثبت نام نمایشگاه ارویک ۲۰۱۹ ارمنستان
از طرف پاویون اتحادیه صادرکنندگان و بازرگانان اتاق بازرگانی استان گیلان
ارمنستان
4-7 May 2019
۱۴ الی ۱۷ اردیبهشت ۱۳۹۸
@GilNSRChannel
حضور وزیر محترم ارتباطات و فناوری اطلاعات محمد جواد آذری جهرمی و دبیر محترم شورای عالی فضای مجازی و رییس مرکز ملی فضای مجازی ایران ابوالحسن فیروز آبادی در هیات عمومی سازمان نظام صنفی رایانه ای کشور
@GilNSRChannel
@GilNSRChannel
رسول سراییان دبیرکل سازمان نظام صنفی رایانهای کشور در نشست فعالان بخش خصوصی حوزه فاوا با وزیر ارتباطات و دبیر شورای عالی فضای مجازی به تشریح چشم انداز سازمان نصر تا افق ۱۴۰۱ تحت عنوان "بیستون" پرداخت و گفت: ساماندهی و توانمندسازی،توسعه و پیشرانی و همچنین نوآوری و پیشتازی از اهداف مهم نظام صنفی رایانهای برای رسیدن به این چشم انداز است.
@GilNSRChannel
@GilNSRChannel
سخنرانی جناب آقای ابوالحسن فیروز آبادی دبیر محترم شورای عالی فضای مجازی و رئیس مرکز ملی فضای مجازی ایران در نشست فعالان بخش خصوصی حوزه فاوا
@GilNSRChannel
@GilNSRChannel
سخترانی وزیر محترم ارتباطات و فناوری اطلاعات جناب آقای محمد جواد آذری جهرمی در نشست فعالان بخش خصوصی حوزه فاوا
@GilNSRChannel
@GilNSRChannel
حضور اعضای هیات مدیره سازمان نظام صنفی رایانه ای استان گیلان در نشست فعالان بخش خصوصی حوزه فاوا با وزیر ارتباطات و دبیر شورای عالی فضای مجازی ایران
@GilNSRChannel
@GilNSRChannel