vahid5835
19th February 2014, 01:35 PM
آلوده شدن مسیریابها با یک کرم
http://www.iritn.com/archive/uploads/2013/09/%D8%A8%D8%AF-%D8%A7%D9%81%D8%B2%D8%A7%D8%B1.jpg
یک برنامه مخرب با سواستفاده از آسیب پذیری دور زدن تایید هویت در نسخههای مختلف محصولات سری E تولیدکننده Linksys، مسیریابهای این شرکت را آلوده کرده است.
به نقل از فن آوری اطلاعات ایران، هفته گذشته محققان مرکز SANS هشدار دادند که رخدادهایی در مسیریابهای E1000 و E1200 به وقع پیوسته است و این مسیریابها در حال اسکن کردن آدرس IPهای دیگر برروی پورتهای ۸۰ و ۸۰۸۰ هستند.
روز پنجشنبه محققان ISC گزارش دادند که بدافزاری را شناسایی کردند که عامل رخداد اخیر مسیریابهای Linksys بوده است.
به نظر میرسد که این حملات بواسطه یک کرم صورت گرفته است که با سواستفاده از آسیب پذیری موجود در مسیریابهای Linksys در حال پیدا کردن دستگاههای آسیب پذیر دیگر بوده است.
کارشناس ارشد فناوری در SANS ISC اظهار کرده است که در این مرحله ما مطلعیم کرمی بر روی مدلهای مختلف مسیریابهای Linksys در حال گسترش است. ما فهرست نهایی مسیریابهای آسیب پذیر را در اختیار نداریم اما مسیریابهای E4200، E3200
E3000، E2500، E2100L، E2000، E1550، E1500، E1200، E1000 و E900 بنا به نسخه میان افزارشان ممکن است آسیب پذیر باشند.
این کرم با نام ‘The Moon’ شناخته میشود و با ارسال درخواست HNAP، نسخه میان افزار و مدل مسیریاب را شناسایی می کند. پروتکل HNAP پروتکل مدیریتی شبکه خانگی است که توسط شرکت سیسکو طراحی شده است و اجازه می دهد تا دستگاه های شبکه شناسایی، پیکربندی و مدیریت شوند.
این کرم پس از شناسایی دستگاه، در صورتی که تعیین کرد دستگاه مزبور آسیب پذیر است درخواست دیگری را در قالب اسکریپت خاص CGI ارسال می کند تا بتواند دستورات محلی را بر روی دستگاه اجرا کند.
این کرم از آسیب پذیری موجود سواستفاده میکند تا یک فایل باینری در قالب ELF را بر روی دستگاه آسیب پذیر دانلود و اجرا کند. زمانی که این فایل بر روی مسیریاب جدیدی اجرا میشود، این فایل باینری شبکه را به منظور آلوده کردن دستگاههای جدید اسکن می کند.
در این فایل باینری تعدادی رشته وجود دارد که مشخص کننده یک سرور کنترل و فرمان است و میتواند به عنوان یک تهدید بات نتی در نظر گرفته شود که توسط مهاجمان از راه دور کنترل می شود.
سخنگوی شرکت Linksys از طریق یک پست الکترونیکی اعلام کرد که این شرکت از وجود این آسیب پذیری در برخی از مسیریابهای سری E باخبر است و درحال رفع مشکل است.
او همچنین به برخی از روشهای کاهش خطر اشاره کرد. اول آنکه مسیریابهایی که برای مدیریت از راه دور پیکربندی نشدهاند نمیتوانند به طور مستقیم هدف این حمله قرار گیرند. اگر مسیریابی باید از راه دور مدیریت شود باید برای کاهش خطر، دسترسی ها به واسط مدیریتی را بوسیله آدرس IP محدود کرد. هم چنین تغییر پورت واسط به پورتی غیر از ۸۰ و ۸۰۸۰ می تواند مانع از وقوع این حمله شود.
کد خبر: 19463 گروه خبری: اخبار فناوری اطلاعات منبع خبر: iritn.com
http://www.iritn.com/archive/uploads/2013/09/%D8%A8%D8%AF-%D8%A7%D9%81%D8%B2%D8%A7%D8%B1.jpg
یک برنامه مخرب با سواستفاده از آسیب پذیری دور زدن تایید هویت در نسخههای مختلف محصولات سری E تولیدکننده Linksys، مسیریابهای این شرکت را آلوده کرده است.
به نقل از فن آوری اطلاعات ایران، هفته گذشته محققان مرکز SANS هشدار دادند که رخدادهایی در مسیریابهای E1000 و E1200 به وقع پیوسته است و این مسیریابها در حال اسکن کردن آدرس IPهای دیگر برروی پورتهای ۸۰ و ۸۰۸۰ هستند.
روز پنجشنبه محققان ISC گزارش دادند که بدافزاری را شناسایی کردند که عامل رخداد اخیر مسیریابهای Linksys بوده است.
به نظر میرسد که این حملات بواسطه یک کرم صورت گرفته است که با سواستفاده از آسیب پذیری موجود در مسیریابهای Linksys در حال پیدا کردن دستگاههای آسیب پذیر دیگر بوده است.
کارشناس ارشد فناوری در SANS ISC اظهار کرده است که در این مرحله ما مطلعیم کرمی بر روی مدلهای مختلف مسیریابهای Linksys در حال گسترش است. ما فهرست نهایی مسیریابهای آسیب پذیر را در اختیار نداریم اما مسیریابهای E4200، E3200
E3000، E2500، E2100L، E2000، E1550، E1500، E1200، E1000 و E900 بنا به نسخه میان افزارشان ممکن است آسیب پذیر باشند.
این کرم با نام ‘The Moon’ شناخته میشود و با ارسال درخواست HNAP، نسخه میان افزار و مدل مسیریاب را شناسایی می کند. پروتکل HNAP پروتکل مدیریتی شبکه خانگی است که توسط شرکت سیسکو طراحی شده است و اجازه می دهد تا دستگاه های شبکه شناسایی، پیکربندی و مدیریت شوند.
این کرم پس از شناسایی دستگاه، در صورتی که تعیین کرد دستگاه مزبور آسیب پذیر است درخواست دیگری را در قالب اسکریپت خاص CGI ارسال می کند تا بتواند دستورات محلی را بر روی دستگاه اجرا کند.
این کرم از آسیب پذیری موجود سواستفاده میکند تا یک فایل باینری در قالب ELF را بر روی دستگاه آسیب پذیر دانلود و اجرا کند. زمانی که این فایل بر روی مسیریاب جدیدی اجرا میشود، این فایل باینری شبکه را به منظور آلوده کردن دستگاههای جدید اسکن می کند.
در این فایل باینری تعدادی رشته وجود دارد که مشخص کننده یک سرور کنترل و فرمان است و میتواند به عنوان یک تهدید بات نتی در نظر گرفته شود که توسط مهاجمان از راه دور کنترل می شود.
سخنگوی شرکت Linksys از طریق یک پست الکترونیکی اعلام کرد که این شرکت از وجود این آسیب پذیری در برخی از مسیریابهای سری E باخبر است و درحال رفع مشکل است.
او همچنین به برخی از روشهای کاهش خطر اشاره کرد. اول آنکه مسیریابهایی که برای مدیریت از راه دور پیکربندی نشدهاند نمیتوانند به طور مستقیم هدف این حمله قرار گیرند. اگر مسیریابی باید از راه دور مدیریت شود باید برای کاهش خطر، دسترسی ها به واسط مدیریتی را بوسیله آدرس IP محدود کرد. هم چنین تغییر پورت واسط به پورتی غیر از ۸۰ و ۸۰۸۰ می تواند مانع از وقوع این حمله شود.
کد خبر: 19463 گروه خبری: اخبار فناوری اطلاعات منبع خبر: iritn.com