در این مقاله قصد داریم تا با بررسی آسیب پذیری های میکروتیک به جواب این سوال پی ببریم که چرا نباید از میکروتیک استفاده کنیم؟

تجهیزات ارتباطی شرکت ‫میکروتیک به ویژه روترهای تولید این شرکت در کشور و عموماً در شبکه‌های کوچک و متوسط بسیار مورد استفاده قرار دارند. از ابتدای سال جاری، چندین آسیب‌پذیری حیاتی در این تجهیزات شناسایی و منتشر گردید. اهمیت این آسیب‌پذیری‌ها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور، و دسترسی به محتوای نرافیک عبوری از روتر را فراهم می‌کند. از جمله مخاطرات دسترسی به ترافیک عبوری، می توان به امکان شنود و بررسی ترافیک شبکه قربانی بر روی پروتکل های SMB,HTTP,SMTP,FTP,…اشاره کرده که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان بدست آوردن تمامی رمز های عبور که به صورت متن آشکار در حال تبادل در شبکه قربانی می باشد را فراهم می کند. با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیب‌پذیری آنها، مرکز ماهر از ابتدای سال حداقل ۶ مرتبه اطلاعیه و هشدار جدی عمومی از طریق وب‌سایت و شبکه تعاملی منتشر نموده است.

لیست آسیب پذیری ها

1- از طریق DNS

یکی از اسیب پذیری های میکروتیک از طریق DNS می باشد. زمانی که از میکروتیک به عنوان سرور DNS استفاده میکنیم هکر ها می توانند از این فرصت سو استفاده کنند.

2- آسیب پذیری از طریق  Proxy

به گزارش ماهر، آسیب‌پذیری حیاتی جدید در روترهای میکروتیک و مشخصا سیستم عامل RouterOS پیدا شده است که به حمله کننده این اجازه را می‌دهد که با ارسال بسته های شبکه، یک ضعف افزایش سطح دسترسی را مورد حمله قرار دهد (CWE-269). با استفاده از این آسیب‌پذیری مهاجم می‌تواند به نوعی فایروال را دور بزند. شماره این آسیب‌پذیری CVE-2019-3924 بوده و حمله از طریق شبکه و به‌صورت راه دور قابل اجراست. با توجه به اینکه این حمله به سطح دسترسی خاصی نیاز نداشته و فقط با چند بسته تحت شبکه قابل بهره‌گیری است، ضروری است جهت رفع آسیب پذیری مورد نظر سیستم‌عامل روتر خود را به 6.42.12 (در نسخه long-term) یا 6.43.12 (در نسخه stable) ارتقا دهید.

توضیحات تکمیلی این آسیب‌پذیری به زودی منتشر می‌گردد.

جزییات فنی:
CVE-2019-3924
CWE-269
cpe:/a:mikrotik:routeros
CVSSvs Score: 7.3

Attack Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X

یکی از بزرگترین آسیب پذیری های میکروتیک از طریق پروکسی است. بدین صورت که هکر با هک کردن میکروتیک صفحات جعلی فیشینگ را در پروکسی سرور میکروتیک بارگذاری می کند و کاربران داخل شبکه با استفاده از این صفحات اطلاعات خود را به هکر ارسال می کنند.

با وجود همه‌ی اقدامات صورت گرفته متاسفانه مشاهده شد به دلیل عدم همکاری مالکین این تجهیزات به ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیب‌پذیر می­باشند. بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمین مختلف قرار گرفته است.

در موج اخیر حمله و سوءاستفاده از تجهیزات آسیب‌پذیر میکروتیک، مهاجمین با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهره‌برداری می‌کنند، این حملات اصطلاحاً CryptoJackingنام دارد.

با رسانه ای شدن خبر آلودگی بیش از ۷۰ هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیب پذیری های دستگاه­های میکروتیک اینبار با هدف بهره برداری ارزکاوی آغاز شد. هم‌زمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور نمود که در اولین مشاهدات تعداد ۱۵۷ دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد. برای جلوگیری از افزایش خسارات ناشی از این حملات، مرکز ماهر اقدام به انتشار چندین اطلاعیه و ارایه راهکاری های کنترلی نمود. اما به دلیل عدم توجه کافی به هشدارها و اطلاعیه های مرکز ماهر و توجه نشان دادن هکر ها به این نوع حملات و همچنین آلوده سازی دستگاه­ها توسط فرآیند خودکار شاهد افزایش روز افزون تعداد دستگاه­های آلوده شده در کشور هستیم. روند صعودی این حمله در نمودار زیر نمایش داده شده است. همانطور که در بخش هایی از نمودار مشاهده می شود، در روزهای اخیر این روند صعودی تسریع شده و به صورت ساعتی در حال افزایش تعداد قربانیان می باشد.