كرم ‘The Moon’، در این مقاله با این برنامه های مخرب آشنا میشوید.
یك برنامه مخرب با سوء استفاده از آسیب پذیری دور زدن تایید هویت در نسخه های مختلف محصولات سری E تولیدكننده Linksys، مسیریاب های این شركت را آلوده كرده است.
هفته گذشته محققان مركز SANS هشدار دادند كه رخدادهایی در مسیریاب های E1000 و E1200 به وقع پیوسته است و این مسیریاب ها در حال اسكن كردن آدرس IP های دیگر بر روی پورت های 80 و 8080 می باشند. روز پنج شنبه محققان ISC گزارش دادند، بدافزاری را شناسایی كردند كه عامل رخداد اخیر مسیریاب های Linksys بوده است.
به نظر می رسد كه این حملات بواسطه یك كرم صورت گرفته است كه با سوء استفاده از آسیب پذیری موجود در مسیریاب های Linksys در حال پیدا كردن دستگاه های آسیب پذیر دیگر بوده است.
Johannes Ullrich، كارشناس ارشد فناوری در SANS ISC اظهار داشت كه در این مرحله ما مطلع هستیم كرمی بر روی مدل های مختلف مسیریاب های Linksys در حال گسترش می باشد. ما فهرست نهایی مسیریاب های آسیب پذیر را در اختیار نداریم اما مسیریاب های E4200، E3200، E3000، E2500، E2100L، E2000، E1550، E1500، E1200، E1000 و E900بنا به نسخه میان افزارشان ممكن است آسیب پذیر باشند.
این كرم با نام ‘The Moon’ شناخته می شود و با ارسال درخواست HNAP، نسخه میان افزار و مدل مسیریاب را شناسایی می كند. پروتكل HNAP پروتكا مدیریتی شبكه خانگی است كه توسط شركت سیسكو طراحی شده است و اجازه می دهد تا دستگاه های شبكه شناسایی، پیكربندی و مدیریت شوند. این كرم پس از شناسایی دستگاه، در صورتی كه تعیین كرد دستگاه مزبور آسیب پذیر است درخواست دیگری را در قالب اسكریپت خاص CGI ارسال می كند تا بتواند دستورات محلی را بر روی دستگاه اجرا نماید.
این كرم از آسیب پذیری موجود سوء استفاده می كند تا یك فایل باینری در قالب ELF را بر روی دستگاه آسیب پذیر دانلود و اجرا نماید. زمانی كه این فایل بر روی مسیر یاب جدیدی اجرا می شود، این فایل باینری شبكه را به منظور آلوده كردن دستگاه های جدید اسكن می كند.
در این فایل باینری تعدادی رشته وجود دارد كه مشخص كننده یك سرور كنترل و فرمان است و می تواند به عنوان یك تهدید بات نتی در نظر گرفته شود كه توسط مهاجمان از راه دور كنترل می شود.
سخنگوی شركت Linksys از طریق یك پست الكترونیكی اعلام كرد كه این شركت از وجود این آسیب پذیری در برخی از مسیریاب های سری E باخبر است و درحال رفع مشكل می باشد. او هم چنین به برخی از روش های كاهش خطر اشاره كرد. اول آنكه مسیریاب هایی كه برای مدیریت از راه دور پیكربندی نشده اند نمی توانند به طور مستقیم هدف این حمله قرار گیرند. اگر مسیریابی می بایست از راه دور مدیریت شود باید برای كاهش خطر، دسترسی ها به واسط مدیریتی را بوسیله آدرس IP محدود كرد. هم چنین تغییر پورت واسط به پورتی غیر از 80 و 8080 می تواند مانع از وقوع این حمله شود.
دیدگاه خود را بنویسید