ايتنا - بات‌نت MIRAI در روتر هواوی

محققان به تازگی یک آسیب‌پذیری را در روتر خانگی هواوی شناسایی کرده‌اند که توسط یک مجرم برای گسترش بدافزار Mirai اکسپلویت شده است، آسیب‌پذیری جدید با نام Satori شناخته شده است.

به گزارش ایتنا از کسپرسکی آنلاین، محققان در Check Point گزارشی را در روز پنجشنبه منتشر ساختند و در این اخبار به نقض این مدل از روتر HG532 پرداختند. محققان بر این باور هستند که صدها هزار تلاش برای اکسپلویت این آسیب‌پذیری توسط مجرمان انجام شده است.

آسیب پذیری Okiku/Satori ابتدا توسط محقق Check Point در تاریخ 23 نوامبر شناسایی شد. محققان گفته‌اند که پیش از این کشف، آنها حملاتی را مقابل دستگاه‌های HG532 هواوی مشاهده کرده‌اند که در ایالات متحده، ایتالیا، آلمان و مصر این مقدار به حد بالایی رسیده است.
در روز جمعه، هواوی به کاربران خود هشداری را اعلام نمود که در آن به آسیب‌پذیری (CVE-2017-17215) و آپدیت آن اشاره کرده است.

محققان می‌گویند: "به محض اینکه یافته‌ها تایید شدند، آسیب‌پذیری در روترهای هواوی به صورت هویتی منتشر شد تا این کمپانی بتواند مانع پیشرفت آسیب‌گردد". این کمپانی به کاربران خود گفت که این آسیب‌پذیری به مجرمان اجازه می‌دهد تا از راه دور بسته‌های مخرب خود را به پورت 37215 ارسال کنند تا بتوانند کدهای مخرب خود را روی روتر آسیب پذیر اجرا کنند.

بات نت Mirai مسئول یکی از قوی‌ترین حملات DDoS در اکتبر سال 2016 به میان آمد، این بات نت DNS ارائه دهنده Dyn و Krebs در وب سایت امنیتی با حملات گسترد هی DDoS بمباران ساخت. هرچند Mirai بزرگ ترین بات نت موجود نیست اما مسئول یکی از بزرگ ترین حملات DDoS گزارش شده تاکنون است.
انتشار کد Mirai یک رویداد مهم برای محققین امنیت بوده است. برای کمک به افراد عادی، دیدن مقیاس این بدافزار و فعالیت آنلاین آن، این نقشه ساخته شده است و زمان واقعی انتشار آن را نشان می‌دهد.

طبق گفته محققان این آسیب پذیری در استاندارد TR-064 برای تنظیمات شبکه محلی ایجاد شده است. این استاندارد به کاربران تخصصی اجازه می دهد تا تنظیمات اولیه دستگاه‌های خود و یا اقدامات مرتبط با آپدیت ثابت ‌افزارها را در شبکه داخلی انجام دهند.
به گفته محققان، آسیب‌پذیری (CVE-2017-17215) به مجرمان اجازه می‌دهد از راه دور دستورات دلخواه خود را روی دستگاه پیاده کنند. از همین رو آنها می‌توانند از این طریق، بار داده مخرب را دانلود، روی روترهای هوای اجرا و بات نت Satori را آپلود کنند.

این حمله به گونه‌ای است که تعداد بسیار زیادی از پکت‌های TCP و UDP ایجاد شده به سمت قربانیان این آسیب پذیری ارسال می‌کند. همانطور که در بالا به آن اشاره کردیم قربانیان این حمله در سراسر دنیا پراکنده شده‌اند اما در برخی از کشورها تعداد قربانیان بیشتر بوده است.
تعداد پکت‌های مورد استفاده برای عملیات مخرب و پارامترهای مربوط به آن از سرور C&C ارسال شده است. محققان همچنین گفته اند که سرور C&C می تواند یک آی.پی شخصی برای حمله به یک زیرشبکه با استفاده از آدرس و تعدادی از بیت های ارزشمند منتقل سازد.

بر اساس گزارش هواوی، مقابله با این حمله از طریق تنظیمات داخلی پیکربندی فایروال روتر و تغییر پسورد پیش فرض یا استفاده از فایروال در قسمت حامل دستگاه امکان پذیر می‌باشد.

محققان Check Point گفته اند که هنوز مشخص نیست که این آسیب پذیری چگونه کشف شد و چگونه راه به Nexus Zeta’s پیدا کرد. این نمونه از بات نت Mirai و دیگر نمونه هایی که در سال‌های گذاشته شاهد آن بودیم نشان می‌دهد که ترکیبی از کدهای مخرب منتشر شده به همراه آسیب پذیری در IoT یا همان اینترنت اشیاء باعث شده است تا مجرمان بتوانند به حملاتی فاجعه بار دست بزنند و کاربران بسیاری را قربانی حملات خود کنند.