شناسایی ۱۲۵ مورد آسیب پذیری در روترها و هاردهای تحت شبکه از برند های معروف

دنیای تجهیزات و وسایل الکترونیکی متصل بهم ،اینترنت اشیا و دستگاه های هوشمند با سرعت سرسام آوری در حال گسترش است.صدها یا هزاران میلیون دستگاه که در اینترنت در حال استریم و رد وبدل کردن اطلاعات با هم بصورت بی سیم  هستند.

وقتی ما در حال متصل کردن همه چیز به اینترنت هستیم از دستگاه قهوه ساز گرفته تا قفل درب و اتومبیل ، درواقع در حال ساختن بستری بسیار خطرناک و تحریک کننده برای هکر ها هستیم تا از این طریق به خراب کاری بپردازند.

باید باور داشت که بیش از صد راه وجود دارد که یک هکر میتواند زندگی شمارا نابود کندفقط با نفوذ به روتر وایرلس که از آن استفاده می کنید.دستگاهی که ترافیک بین شبکه محلی و اینترنت را کنترل میکند.از این راه طیف وسیعی از دستگاه های وایرلس از کامپیوتر وگوشی موبایل گرفته تا دوربین های IP تلویزیون های هوشمند و لوازم خانگی در معرض یک خطر بالقوه امنیتی و تهدید حریم خصوصی قرار میگیرند.

در تحقیقی با تیتر SOHOpelessly Broken 2.0 که اخیرا ISO انجام داده ۱۲۵ آسیب پذیری امنیتی مختلف در مجموع ۱۳ روتر SOHO small office/home office و هارد تحت شبکه NAS شناسایی شده که احتمالا میلیون ها نفر رو تحت تاثیر قرار می دهد.این تحقیق در راستای به چالش کشیدن تمهیدات امنیتی موجود در این دستگاه ها انجام شده وبرای نشان این موضوع است که کنترل های امنیتی که سازندگان این دستگاه ها  در نظر گرفتند کافی نیست ومخاطرات زیادی را بدنبال خواهد داشت.

روتر های SOHO و دستگاه های NAS که مورد تحقیق قرار گرفته اند از برندهای

  • Buffalo
  • Synology
  • TerraMaster
  • Zyxel
  • Drobo
  • ASUS وبرند زیر مجموعه آن Asustor
  • Seagate
  • QNAP
  • Lenovo
  • Netgear
  • Xiaomi
  • (Zioncom (TOTOLINK

هستند.بنابر گزارش ارائه شده در تمام این ۱۳ برند حداقل یک آسیب پذیری وب اپلیکیشنی وجود دارد که به هکر اجازه دسترسی از راه دور را به پنل ادمین را می دهد.

این آسیب پذیری ها شامل XSS , CSRF, buffer overflow,OS CMDi, دور زدن احراز هویت ,SQL injection هستند.روت شل های ۱۲ مورد از دستگاه ها بطور موفق آمیز بدست آمد که به کنترل کردن کامل دستگاه می انجامد ۶ مورد از این ها شامل شامل نقص هایی هستند که بدون نیاز به احراز هویت از راه دور کنترل را در اختیار هکر قرار می دهد.

این روتر ها عبارتند از  Asustor AS-602T , Buffalo TeraStation  TS5600D1206, TerraMaster F2-420 ,Drobo 5N2 , Netgear Nighthawk R9000 و TOTOLINK A3002RU

گزارش SOHOpelessly Broken 2.0 یک تحقیق در ادامه SOHOpelessly Broken 1.0 است که موسسه ISE در سال ۲۰۱۳ انجام داده بود وطی آن ۵۲ مورد آسیب پذیری در ۱۳ مدل روتر SOHO و دستگاه NAS شناسایی شده بود این دستگاه ها ساخته شرکت های TP-LINK , ASUS , و Linksys بودند.

از زمان گزارش SOHOpelessly Broken 1.0 متخصصین در دستگاه های IoT مکانیزم های امنیتی مفیدی را پیدا کرده اند مثل ASLR یا address-space layout randomization قابلیت هایی که از مهندسی معکوس جلوگیری میکند و مکانیزم راستی آزمایی برای درخواست های HTTP.

البته مواردی هم همچنان از آن موقع تا الان بدون تغییر باقی مانده مثل عدم وجود قابلیت های محافظتی وب اپلیکیشن برای خیلی از دستگاه های IoT مانند توکن های anti-CSRF و هدر های امنیتی مرورگر که می تواند تاثیر بسزایی در ارتقای سطح امنیتی وب اپلیکیشن ها و سیستم های مرتبط با آنها داشته باشد.

متخصصین ISE تمام آسیب پذیری های شناسایی شده را به سازندگان این دستگاه اطلاع داده اند وبیشتر این شرکت ها درصدد رفع موارد امنیتی آمده اند این آسیب پذیری ها تماما شناسه های CVE دریافت کرده اند.شرکت های Drobo , Buffalo Americas و هلدینگ Zioncom هنوز عکس العملی در برابر گزارش های ارائه شده به آنها نداده اند.

حمله یک باج افزار جدید به درایو های NAS

خانواده جدیدی از باج افزارها شناسایی شده که درایو های Network Attached Storage یا به اختصار NAS مبتنی بر لینوکس را که تولید شرکت تایوانی  QNAP systems هستند را هدف قرار داده که اطلاعات مهم کاربران را بلوکه میکند و  برای آزاد کردن آنها باج خواهی میکند.

مخزن های حافظه NAS  برای استفاده خانگی وکسب وکارهای کوچک بسیار محبوب هستند که به یک شبکه ویا اینترنت  متصل می شوند واین امکان را به کاربران میدهند تا اطلاعات خود راذخیره کنند ویا داده های خود را با چندین کامپیوتر به اشتراک بگدارند.

دو موسسه تحقیقات امنیت سایبری Intezer و Anomali بطور جداگانه این تهدید را شناسایی کرده اند.این نسل جدید از باج افزار ها سرور های QNAP NAS  که محافظت ضعیفی دارند را یا با حمله brute force به گواهینامه های ضعیف SSH و یا exploit کردن آسیب پذیری های شناخته شده مورد هجوم قرار می دهند.

این باج افزار که Intezer آنرا QNAPCrypt و Anomali  آنرا  eCh0raix مینامد تحت زبان برنامه نویسی Go نوشته شده  .فایل ها با پسوند های انتخاب شده را با روش AES  رمزگذاری  میکند و به آنها پسوند encrypt. را اضافه میکند.

جالب است که اگر هارد NAS در کشور بلاروس،اکراین و روسیه قرار داشته باشد باج افزار عملیات رمزگذاری را قطع میکند و بدون ایجاد آسیبی به فایل ها خارج میشود.

در ادامه توضیح داده میشود که چطور متخصصین امنیت  از یک ضعف منطقی درساختار این باج افزار استفاده کرده اند تا بطور موقت از آسیب رساندن به کاربران جلوگیری کنند.

به محض اجرا ، باج افزار اول به سرور C&C خود که از طریق شبکه Tor محافظت شده وصل میشود با استفاده از پروکسی TOR SOCKS5 به هکر ها هدف های جدید را معرفی میکند.

بر مبنای تحلیل های انجام شده واضح است که پروکسی به وسیله برنامه نویس باج افزار برپا شده تا به باج افزار دسترسی شبکه Tor را بدهد  بدون کارایی  داشتن  Tor در باج افزار.

قبل از رمزگذاری فایل ها،باج افزار از سرور C&C درخواست آدرس یک کیف پول بیت کوین را میکند  یعنی جایی که قربانیان باید مبلغ باج خواهی شده را به بیت کویت پرداخت کنند.از قبل لیستی از آدرس های مورد  نظر در سرور وجود  دارد.  واگر سرور آدرسی برای انتقال بیت کوین نداشته باشد عملیات رمز گذاری را معلق میکند تا هکر ها آدرس جدیدی را ارائه دهند.

متخصصین در Intezer از این مکانیزم استفاده کردند و با استفاده از یک اسکریپت توانستند سرور C&C مهاجمین را فریب دهند تا تمام آدرس های بیت کوین موجود در لیست خود را به صدها قربانی غیر واقعی اختصاص دهد و عملیات رمزگذاری فایل ها برای قربانیان واقعی بطور موقت متوقف شود.از آنجاییکه برنامه نویس باج افزار به هر قربانی یک کیف پول بیت کوین از مجموعه کیف پول های را که از قبل تهیه کرده اختصاص میدهد با تکرارpacket های آلوده کردن میتوان تمام آدرس های موجود را تا زمانیکه آدرسی موجود نباشد ،استفاده کرد. تیم Intezer توانستند مجموعا ۱۰۹۱ کیف پول که برای ارائه به قربانیان بود جمع آوری کنند.

اگر باج افزار کیف پول مورد نظر خود را دریافت کند با ایجاد یک string تصادفی ۳۲ کاراکتری یک کلید محرمانه AES-256  می سازد و بااستفاده از آن تمام فایل های موجود در درایو NAS  را با الگوریتم AES در حالت Cipher Feedback Mode  رمزگذاری میکند و نسخه های اصل فایل ها را پاک میکند.

به گفته تیم Anomali ماژول رمزنگاری از بسته ریاصی برای تولید کلید محرمانه استفاده میکند واین احتمال هست که بتوان یک رمزشکن  برای این باج افزار نوشت چون تابع موجود کاملا تصادفی نیست.

از آنجاییکه استفاده از آنتی ویروس روی درایو های QNAP NAS خیلی معمول نیست این باج افزار شانس خوبی برای جولان دادن روی این دستگاه ها  دارد.

در تحلیل های انجام شده همچنین مشخص شده که قبل از عملیات رمز گذاری روی فایل ها  ،باج افزار سعی میکند یک لیست از پردازش ها را از بین ببرد.این لیست به خصوص شامل apache2 , httpd  ,nginx,  MySQL  و PostgreSQL است.

به کاربران توصیه می شود در صورت امکان درایو NAS خود را مستقیما به اینترنت متصل نکنند و حتما firmware  درایو را بروز نگه دارند.

هم چنین استفاده از پسورد های بسیار قوی و backup گیری منظم در جهت کاهش خطرات این تهدید به کاربران توصیه میشود.