• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
11 آگوست 2021

عاملان تهدید ناشناس به طور فعال از آسیب پذیری دور زدن احراز هویت برای حمله به روترهای خانگی تنها دو روز پس از افشای عمومی آن و به عنوان بخشی از تلاش برای پیوند دادن آنها با بات نت نوع Mirai استفاده می کنند که مشخصا برای انجام حملات DDoS استفاده می شود.

این نقطه ضعف با عنوان CVE-2021-20090 (امتیاز CVSS: 9.9)، مربوط به آسیب پذیری مسیرهای انتقال اینترفیس های وب روترها با سیستم عامل Arcadyan است که می تواند به مهاجمان از راه دور غیر مجاز اجازه بدهد که مرحله احراز هویت را دور زده و از آن عبور کنند.

در طی گزارش هایی که توسط Tenable در سوم آگوست افشا شد، اعتقاد بر این است که این مشکل حداقل ۱۰ سال است که وجود داشته و حداقل ۲۰ مدل را در محصولات ۱۷ تامین کننده مختلف شامل Asus ،Beeline ،British Telecom ،Buffalo ،Deutsche Telekom ،Orange ،Telstra ،Telus ،Verizon و Vodafone را تحت تأثیر قرار داده است.

سواستفاده موفقیت آمیز توسط مهاجم می تواند موانع احراز هویت را دور بزند و به صورت بالقوه به اطلاعات از جمله توکن های درخواست معتبر، که می تواند برای ایجاد درخواست جهت تغییر تنظیمات روتر مورد استفاده قرار گیرد، دسترسی پیدا کند.

شرکت Juniper Threat Labs هفته گذشته اعلام کرد که “برخی از الگوهای حمله را که سعی می کنند از این آسیب پذیری در فضای سایبری از آدرس IP واقع در ووهان، استان هوبی کشور چین استفاده میکنند، شناسایی کرده است”. در این حملات که از ۵ آگوست شروع شده است، مهاجم از آن برای استقرار یک نوع از Mirai در روترهای آسیب دیده استفاده میکند. این حملات از تکنیک های مشابهی که توسط واحد ۴۲ Palo Alto Networks در اوایل ماه مارس آشکار شد، بهره میبرند.

محققان می گویند: “این شباهت می تواند نشان دهنده این نکته باشد که همان عاملان تهدید در پس این حمله جدید هستند و تلاش می کنند تا منابع نفوذ خود را با آسیب پذیری تازه دیگری ارتقا دهند”.

علاوه بر CVE -2021–۲۰۰۹۰، عاملان تهدید دست به حملاتی زدند که در آنها از تعدادی آسیب پذیری دیگر مانند موارد ذیل استفاده میشده است:

• CVE-2020-29557 (اجرای کد پیش احراز هویت از راه دور در دستگاه های D-Link DIR-825 R1)
• CVE-2021-1497 و CVE-2021-1498 (آسیب پذیری تزریق فرمان در Cisco HyperFlex HX)
• CVE-2021-31755 (آسیب پذیری سرریز بافر استک در Tenda AC11 که منجر به اجرای کد دلخواه می شود)
• CVE-2021-22502 (ایراد اجرای کد از راه دور در Micro Focus Operation Bridge Reporter)
• CVE-2021-22506 (آسیب پذیری نشت اطلاعات در Micro Focus Access Manager)

گزارش یونیت ۴۲ قبلاً شش مورد نقص امنیتی شناخته شده و سه مورد ناشناخته را کشف کرده بود که در حملات به مواردی مانند SonicWall SSL-VPN ، فایروال D-Link DNS-320 ، روترهای بی سیم Netis WF2419 و سوئیچ های Netgear ProSAFE Plus که مورد هدف قرار گرفته اند، تحت سواستفاده واقع شده بودند.

برای جلوگیری از هرگونه خطر احتمالی، به کاربران توصیه می شود فریمور روتر خود را به آخرین نسخه به روز نمایند.

محققان می گویند: “واضح است که بازیگران تهدید همه آسیب پذیری های فاش شده را زیر نظر دارند. هر زمان که یک PoC سواستفاده منتشر می شود، اغلب بازه زمانی بسیار کمی برای بهره گیری و ادغام آن آسیب پذیری در پلتفرم آنها و شروع حملات، نیاز است”.

19 جولای 2021
شرکت دی‌لینک با انتشار آپدیت سریع مهندسی، آسیب‌پذیری‌های موجود در روترهای خود را اصلاح کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت دی‌لینک، آپدیت سریع مهندسی و سخت‌افزاری را برای اصلاح آسیب‌پذیری‌های موجود در روترهای اینترنت بی‌سیم مبتنی بر AC۳۰۰۰ DIR-۳۰۴۰ منتشر کرد.

مهاجمان می‌توانند با بهره‌برداری از این آسیب‌پذیری‌ها، کدهای دلخواه خود را بر روی روترهای اصلاح نشده اجرا کنند، به اطلاعات حساس دسترسی پیدا کنند یا با ایجاد حالت منع سرویس، روتر را دچار خرابی کنند.

نقص امنیتی موجود در DIR-۳۰۴۰ که توسط محققان سیسکو شناسایی و گزارش شد، شامل گذرواژه هارد کد شده، تزریق فرمان و باگ‌های افشای اطلاعات است.

آسیب‌پذیری‌های هارد کد شده موجود در محیط تست کارکرد Libcli و مدیریت روت Zebra IP این اجازه را مهاجمان می‌دهند تا روترهای آسیب‌پذیر دی‌لینک DIR-۳۰۴۰ را هدف قرار دهند.

اما دی‌لینک با انتشار آپدیت سریع مهندسی این آسیب پذیری‌ها را اصلاح کرد. لیست آسیب‌پذیری‌های اصلاح شده توسط دی‌لینک شامل موارد زیر است:
CVE-۲۰۲۱-۲۱۸۱۷
CVE-۲۰۲۱-۲۱۸۱۹
CVE-۲۰۲۱-۲۱۸۲۰
CVE-۲۰۲۱-۲۱۸۱۶

مرجع : سایبربان