‫ اخبار

در 5 نوامبر 2018 بنیاد نرم افزاری #‫Apache به کاربران #‫Struts خود اعلام می کند که حتما از نسخه ی 1.3.3 کتابخانه Commons FileUpload استفاده کنند، چراکه نسخه های قبلی آن دارای آسیب پذیری Remote Code Execution می باشند. این آسیب پذیری به دلیل مشکل deserialization در Object های جاوا می باشد که این خود باعث می شود یک عملیات Exploiting موفقیت آمیز باعث نفوذ به سرور قربانی و نوشتن یک فایل یا کپی یک فایل بر روی سرور را برای نفوذگر عملی کند.
بر اساس توضیحات منتشر شده، تا هنگامی که object به صورت تنها مورد استفاده قرار بگیرد، امکان upload و اجرای کدهای باینری در یک فراخوان deserialization وجود خواهد داشت. تا هنگامی که از یک مکانیزم متفاوت در ساختار upload فایل در Struts استفاده نکنید، به صورت پیش فرض از کمپوننت Commons FileUpload استفاده می شود.
اولین بار هشداری که برای این آسیب پذیری منتشر شد در ماه مارس 2018 بود. از آن زمان تا کنون دو نسخه جدید Struts 2.3.x منتشر شده است. در نسخه منتشر شده ی 2.3.3 که در تاریخ 15 اکتبر منتشر شد همچنان آسیب پذیری موجود می باشد، چراکه نسخه ی 1.3.3 از کتابخانه Common FileUpload که آسیب پذیری در آن رفع شده است در نسخه ی Apache Struts 2.5.12 موجود می باشد.
همچنین آسیب پذیری که مربوط به 2 سال پیش با شماره شناسایی CVE-2016-1000031 منتشر شده بود درباره همین کتابخانه بوده که امکان حمله ی DoS را برای نفوذگر ممکن می کرده است. برای جلوگیری از خطر این آسیب پذیری، کاربر می تواند به صورت دستی کتابخانه معیوب را جایگزین نماید. برای این کار می توان نسخه قدیمی WEB-INF/lib را توسط فایل به روز رسانی شده ی JAR آن که در آدرس زیر بر روی سایت Apache منتشر شده است جایگزین نمود:
https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi
راه دیگر رفع این آسیب پذیری این است که Apache Struts خود را به نسخه 2.5.12 ارتقا دهید.

کمپانی گوگل در ماه نوامبر 2018 به روز رسانی های مهم امنیتی سیستم عامل اندروید خود را برای تمامی کاربران و توسعه دهندگان این سیستم عامل منتشر کرد که شامل رفع #‫آسیب_پذیری های خطرناک RCE و Privilege Escalation می باشد. در اکتبر 2018 کمپانی Alphabet یک نسخه پیش نمایش از وصله های مربوط به آسیب پذیری های فوق را به صورت محرمانه از طریق OTA منتشر کرد که برای کاربران Google Pixel بود.
آسیب پذیری RCE با شماره شناسایی CVE-2018-9527 نسخه های اندروید Nougat تا نسخه Pie را تحت تاثیر خود قرار می دهد و یک آسیب پذیری RCE دیگر با شماره شناسایی CVE-2018-9531 تنها بر روی اندروید نسخه Nougat کشف شده است. این آسیب پذیری ها در بخش Media Framework قرار دارد و به نفوذگر این اجازه را می دهد که با داشتن سطح دسترسی بالا بتواند در چارچوب یک پروسه، کدهای مخرب خود را بر روی سیستم قربانی اجرا کند. همچنین دیگر آسیب پذیری ها با شماره شناسایی CVE-2018-9536 و CVE-2018-9537 که از نوع Privilege Escalation می باشند بر روی نسخه اندروید Nougat گزارش شده اند.
6 آسیب پذیری سطح بالا دیگر گزارش شده اند که پس از Exploit موفقیت آمیز آنها، نفوذگر می تواند اطلاعات خاصی از سیستم عامل قربانی را بدست بیاورد. این آسیب پذیری ها به صورت Remote بوده و اطلاعاتی از سیستم عامل و application ها که بر روی گوشی قربانی نصب می باشد را در اختیار نفوذگر قرار می دهد. برخی از این آسیب پذیری ها که از نوع leak information می باشند بر روی نسخه های Nougat و Pie قرار دارد و برخی دیگر تنها بر روی نسخه ی نهایی این سیستم عامل گزارش شده است.
همچنین کمپانی گوگل 14 آسیب پذیری امنیتی را بر روی کمپوننت های Qualcomm گزارش کرده است. آسیب پذیری شماره CVE-2017-18317 که بخش Trusted Execution Environment را تحت تاثیر خود قرار می دهد باعث دور زدن محدودیت های SIM Lock و SIM Kill می شود. آسیب پذیری Buffer Overflow بر روی کمپوننت Video آن قرار دارد که با شماره شناسایی CVE-2018-5912 معرفی شده است. همچنین آسیب پذیری Buffer Overflow بر روی بخش شناسایی fingerprint که با شماره شناسایی CVE-2018-11264 معرفی شده است بر روی کمپوننت های بیومتریک Qualcomm chipsets قرار دارد.

محققان، #‫آسیب‌پذیری وصله‌نشده‌ای را در ویژگی "Online Video" مایکروسافت کشف کرده‌اند که به مهاجمان، امکان ارسال فایل‌های مخرب به سیستم قربانی را می‌دهد.
این اشکال هنگامی رخ می‌دهد که کاربر، یک ویدئو را از طریق ویژگی "Video Online" در یک سند #‫Word تعبیه کند. این آسیب‌پذیری در فایل ".xml" وجود دارد که در آن، پارامتر "embeddedHtml" به یک کد iframe در یوتیوب اشاره دارد. هکرها می‌توانند کد iframe فعلی یوتیوب را با HTML/JavaScript مخرب که توسط اینترنت اکسپلورر ارائه می شود، جایگزین کنند.
به‌گفته‌ی محققان، تغییر گذرواژه‌ی ویدئوی یوتیوب جاسازی‌شده در یک سند Word، برای مهاجمان بسیار آسان است. آن‌ها فقط باید فایل "document.xml" را ویرایش کنند و لینک ویدئو را با بار مخرب جایگزین کنند. محققان گمان می‌کنند که مهاجمان ممکن است از این تکنیک برای حملات فیشینگ استفاده کنند، زیرا سند، ویدئوی جاسازی‌شده با لینک به YouTube را نشان می‌دهد، در حالی که ممکن است یک کد مخفی HTML/JavaScript در پس‌زمینه اجرا شود و منجر به اجرای کد بیشتر شود.
هکرها برای استفاده از این حمله، یک لینک ویدئو را داخل سند Word جاسازی کرده و آن را با استفاده از ایمیل فیشینگ برای قربانی ارسال و سپس کاربران را به بازکردن فایل Word ترغیب می‌کنند.
با این ترفند، کاربران هدف ممکن است هیچ چیز بدبینانه‌ای را مشاهده نکنند، زیرا بازکردن سند دارای ویدئوی جاسازی‌شده، هیچ اخطاری ایجاد نمی‌کند.
این اشکال بر مایکروسافت آفیس 2016 و تمام نسخه‌های قبلی دارای ویژگی "Video Online" تأثیر می‌گذارد.
محققان سه ماه پیش این آسیب‌پذیری را به مایکروسافت گزارش کردند اما به‌نظر می‌رسد مایکروسافت قصد ندارد این مشکل را حل کند و معتقد است نرم‌افزار Word، تفسیر HTML را به‌درستی انجام می‌دهد.
به مدیران شرکت‌ها توصیه می‌شود سندهای Word دارای برچسب "embeddedHtml" در فایل "document.xml" اسناد Word را مسدود کنند و پیوست‌های ایمیل ناخواسته را از منابع ناشناخته یا مشکوک باز نکنند.

پیرو اطلاعیه قبلی درخصوص وجود آسیب‌پذیری سرویس #‫SMB (درگاه ۴۴۵) در سطح کشور، بررسی‌های انجام شده نشان­ دهنده افزایش سطح حملات روی این درگاه است. این درگاه به صورت پیش‌فرض در پروتکل SMB مورد استفاده قرار می‌گیرد که در گذشته مورد هجوم حملات بسیاری بوده است. آنچه در این ارتباط مورد توجه است، افزایش حملات در سطح کشور از مبدا داخل ایران است که می‌تواند گویای افزایش آلودگی در کشور باشد. از این رو لازم است تا پاکسازی سیستم‌های آلوده داخلی مورد توجه قرار گیرد.خلاصه‌ای از وضعیت حملات ثبت شده از ابتدای مهر به شرح زیر است:

بر اساس گزارش منتشر شده از #‫کسپرسکی اخیرا گروه shadow broker ابزاری با نام DarkPulsar را ارائه کرده‌اند که با بهره‌گیری از این آسیب‌پذیری، اجازه کنترل راه‌دور را برای مهاجم فراهم می‌کند. علاوه بر آن دو چارچوب پیچیده دیگر با نام‌های DanderSpritz و FuzzBunch نیز توسط این گروه در سال 2017 ارائه شده است که دارای قابلیت تحلیل میزبان قربانی، آسیب‌پذیری‌های قابل اکسپلویت و سایر مولفه‌های مانیتور میزبان قربانی هستند.

جهت دریافت متن کامل کلیک نمایید

اخیرا یک #‫آسیب‌پذیری بحرانی در بخش #‫OracleWebLogicServer مربوط به Oracle Fusion Middleware (بخش‌های WLS Core ) مشاهده شده است. Oracle WebLogic Server میان‌افزاری است که به منظور توسعه، یکپارچه‌سازی و مدیریت برنامه‌های تحت وب، برنامه‌های تحت شبکه و پایگاه‌های داده مورد استفاده قرار می‌گیرد. بنا بر مستندات منتشر شده، آسیب‌پذیری مذکور در نسخه‌های 10.3.6.0، 12.1.3.0 و 12.2.1.3 از Oracle WebLogic Server وجود دارد. سوء استفاده از این آسیب‌پذیری در صورت داشتن دسترسی به شبکه با استفاده از پروتکل T3، منجر به دسترسی غیرمجاز به Oracle WebLogic Server خواهد شد.

جهت رفع آسیب‌پذیری، با توجه به ارائه وصله امنیتی مربوط از سوی شرکت اوراکل، به مدیران شبکه توصیه می‌گردد نسبت به نصب وصله‎های امنیتی و به روزرسانی‌های موجود اقدام نمایند. همچنین توصیه می‌شود که درخواست‌های ارتباط T3 از خارج از اینترانت به Oracle WebLogic Server مسدود شود.

اطلاعات بیشتر در خصوص جزئیات این آسیب‌پذیری در توصیه نامه شرکت اوراکل در لینک زیر قابل دسترسی است:

https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

در اواخر سال 1395یک #‫آسیب‌پذیری جدی با سطح خطر بحرانی با نام EternalBlueدر پروتکل#‫SMBافشاء شد که نسخه‌های مختلف سیستم عامل ویندوز را تحت تاثیر قرار می‌داد. از آن زمان تا به حال انواع کدهای سوء‌استفاده و #‫باج‌_افزار و جاسوس‌افزار و غیره از این آسیب‌پذیری سوء‌استفاده نموده‌اند. بررسی‌های مجددمرکز ماهر نشان‌دهنده وجود تعداد زیاد آدرس های دارای آسیب پذیری مذکور می باشد. از این‌رو لازم است راهبران شبکه نسبت به امن‌سازی آن اقدام نمایند. برخی از مهمترین گام‌های امن‌سازی این پروتکل عبارتند از:

1. به‌روزرسانی: با توجه به انتشار وصله‌های امنیتی مرتبط توسط شرکت مایکروسافت (حتی برای ویندوز XPخارج از دوره پشتیبانی)، لازم است این سرویس در تمامی سیستم‌ها به روزرسانی شود.
2. غیرفعال نمودن SMB 1.0در سمت ماشین‌های سرویس‌دهنده
3. غیر فعال نمودن SMBدر سمت ماشین‌های سمت کلاینت (درصورت عدم نیاز)
4. اعمال SMB Signingبه‌طور جداگانه برای ارتباط‌های ورودی و خروجی (از طریق Group Policyیا از طریق رجیستری).
5. جلوگیری از ارتباطات Null Session(از طریق رجیستری)
6. غیرفعال نمودن NetBIOS over TCP/IP
7. استفاده از دیواره آتش و بستن پورت‌های مربوط به NetBIOS over TCP/IP
8. رمز نمودن ترافیک SMB

اخیراً، محققین امنیت سایبری، یک #‫آسیب_پذیری بر روی X.org سرور کشف کرده اند که در صورت #‫Exploit شدن موفقیت آمیز آن، عملیات #‫Privilege_Escalation جهت رسیدن سطح دسترسی به root برای نفوذگران در سیستم عامل های Linux Base و BSD Base امکان پذیر خواهد بود. این آسیب پذیری که با شماره شناسایی CVE-2018-14665 توسط Narendra Shinde معرفی شده در حدود 2 سال است که وجود دارد و از نسخه 1.19.0 تا کنون این آسیب پذیری بر روی X.org Server موجود می باشد. در حال حاضر آخرین نسخه ارائه شده 1.20.3 می باشد.
بر اساس توضیحات ارائه شده توسط مسئولین بخش توسعه X.org، این آسیب پذیری بر اساس خطای اعتبارسنجی در پارامتر command-line آن رخ داده است که به نفوذگر اجازه ی بازنویسی فایلهای خاصی را می دهد و این خود باعث می شود که نفوذگر بتواند در مسیرهای غیر امن با بارگزاری آن پارامترها، فایل های مد نظر را overwrite کند.
OpenBSD که یک سیستم عامل مبتنی بر BSD بوده و تمرکز اصلی آن بر روی امنیت بخشی به این سیستم عامل می باشد، از Xorg استفاده می کند و در 18 اکتبر نسخه 6.4 این سیستم عامل را منتشر کرد، اما این نسخه انتشار یافته هم متاسفانه دارای آسیب پذیری CVE-2018-14665 می باشد. Theo de Raadt مدیر پروژه OpenBSD اعلام کرده است که مسئولین بخش Xorg از 11 اکتبر در مورد این آسیب پذیری اطلاع داشته اند، اما اطلاعیه منتشر شده توسط توسعه دهندگان OpenBSD یک هفته بعد از انتشار نسخه نهایی این سیستم عامل منتشر شده است. احتمالا اگر تیم امنیتی X در پروژه OpenBSD زودتر به این موضوع پی می بردند، انتشار نسخه نهایی این سیستم عامل به تعویق می افتاد.
تیم امنیتی توسعه دهنده OpenBSD برای رفع این آسیب پذیری، یک source code patch ارائه کرده است که نیاز به کامپایل و rebuilding مجدد X Server دارد، اما راه حل موقتی برای رفع این آسیب پذیری، غیر فعال کردن Xorg binary توسط دستور زیر می باشد:
chmod u-s /usr/X11R6/bin/Xorg
توانمندی استفاده های مختلف از این آسیب پذیری برای نفوذگران وجود دارد، همانطور که Matthew Hickey از محققین مرکز Hacker House Security اعلام کرد که توسط یک اکسپلویت می توان دسترسی خاصی توسط SSH را هم به صورت Remote از این آسیب پذیری داشت. همچنین Michael Shirk از مرکز Daemon Security CEO اعلام کرد که می توان توسط یک خط دستور، فایل shadow را بر روی سیستم آسیب پذیر بازنویسی کرد.
دیگر توزیع های مختلف لینوکسی بر پایه RedHat و Debian هم به این ضعف کشف شده آسیب پذیر هستند. حتما در صورت انتشار به روز رسانی های منتشره توسط توسعه دهنده گان، سیستم عامل های خود را به روز رسانی کنید.

اخیرا یک #‫آسیب‌پذیری بحرانی به شماره CVE-2018-10933‬ در #‫libssh شناسایی شده که حاکی از عملکرد نادرست احراز هویت نرم‌افزاری در سمت سرور می‌باشد. Libssh مجموعه کد مورد استفاده در بسیاری از محصولات برای امنیت و احراز هویت در انتقال فایل، اجرای برنامه از راه دور و ... است. با سوء استفاده از این آسیب‌پذیری مهاجمین می‌توانند فرآیند احراز هویت را دور زده و وارد تجهیزات آسیب پذیر شوند. بنا بر مستندات موجود این آسیب‌پذیری در محصولات مبتنی بر سیستم‌عامل لینوکس که از libssh نسخه 0.6 و بالاتر به عنوان سرور ssh استفاده می‌کنند، نیز وجود دارد. آسیب‌پذیری مذکور در نسخه‌های 0.7.6 و 0.8.4 libssh رفع شده است و به روزرسانی مربوطه در انواع سیستم‌عامل‌های لینوکس از جمله Debian، Ubuntu، SUSE و ... در دسترس می‌باشند. متاسفانه مشاهدات اخیر در فرایندهای امدادی حاکی از وجود این آسیب‌پذیری در محصولات #‫سیسکو که کاربردی گسترده در فضای سایبری کشور دارند، می باشد. احتمال وجود این آسیب‌پذیری در محصولات سیسکو، در روزهای گذشته به تایید شرکت سیسکو نیز رسیده است. این شرکت هنوز در حال بررسی وجود آسیب‌پذیری مذکور در محصولات مختلف خود می‌باشد و تاکنون هیچ فهرستی از انواع تجهیزات آسیب‌پذیر و وصله‌های امنیتی و به‌روزرسانی‌های لازم از سوی شرکت سیسکو برای رفع مشکل ارایه نشده است.

جزئیات این آسیب‌پذیری و اطلاعات بیش‌تر درخصوص محصولات آسیب‌پذیر و وصله‌های امنیتی‌ در لینک زیر در وب‌سایت سیسکو در حال به‌روزرسانی است:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181019-libssh

جهت جلوگیری از هرگونه سوء استفاده از این آسیب‌پذیری، به مدیران شبکه توصیه می‌گردد با استفاد از لیست‌های کنترل دسترسی امکان اتصال از راه دور به تجهیزات را به آدرس های داخلی محدود نمایند و در صورت مشاهده هر گونه علایم مشکوک، مراتب را به اطلاع این مرکز برسانند. همچنین توصیه می‌گردد که در صورت ارائه فهرست تجهیزات آسیب پذیر و ارایه به روزرسانی از سوی شرکت سیسکو سریعا نسبت به نصب آن اقدام نمایند. اطلاعات تکمیلی در رابطه با این موضوع متعاقبا ارائه خواهد شد.

تجهیزات ارتباطی شرکت #‫میکروتیک به ویژه روترهای تولید این شرکت در کشور و عموماً در شبکه‌های کوچک و متوسط بسیار مورد استفاده قرار دارند. از ابتدای سال جاری، چندین #‫آسیب‌پذیری حیاتی در این تجهیزات شناسایی و منتشر گردید. اهمیت این آسیب‌پذیری‌ها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور، و دسترسی به محتوای نرافیک عبوری از روتر را فراهم می‌کند. از جمله مخاطرات دسترسی به ترافیک عبوری، می توان به امکان شنود و بررسی ترافیک شبکه قربانی بر روی پروتکل های SMB,HTTP,SMTP,FTP,…اشاره کرده که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان بدست آوردن تمامی رمز های عبور که به صورت متن آشکار در حال تبادل در شبکه قربانی می باشد را فراهم می کند. با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیب‌پذیری آنها، مرکز ماهر از ابتدای سال حداقل ۶ مرتبه اطلاعیه و هشدار جدی عمومی از طریق وب‌سایت و شبکه تعاملی منتشر نموده است.

با رصد انجام شده تعداد دستگاه های فعال میکروتیک در تاریخ ۱۰ مرداد ماه ۱۳۹۷ در کشور برابر با ۶۹،۸۰۵ عدد بوده است. تعداد دستگاه های آسیب پذیر شناسایی شده توسط مرکز ماهر در تاریخ ۱۴ مرداد ۱۳۹۷ تعداد ۱۶،۱۱۴ عدد بوده است که تمامی این ۱۶ هزار دستگاه در معرض نفوذ قرار داشتند. اطلاع رسانی چندین باره مرکز ماهر، درباره ضرورت بروزرسانی و انجام اقدامات لازم جهت جلوگیری و گسترش این تهدید صورت گرفته است. علاوه بر این اقداماتی چون قطع ارتباط از خارج کشور به دستگاه­هایداخل کشور شامل پورت ۸۲۹۱ (winbox) توانست تا حدی مانع افزایش تعداد قربانیان گردد.

با وجود همه‌ی اقدامات صورت گرفته متاسفانه مشاهده شد به دلیل عدم همکاری مالکین این تجهیزات به ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیب‌پذیر می­باشند. بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمین مختلف قرار گرفته است.

در موج اخیر حمله و سوءاستفاده از تجهیزات آسیب‌پذیر میکروتیک، مهاجمین با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهره‌برداری می‌کنند، این حملات اصطلاحاً CryptoJackingنام دارد.

با رسانه ای شدن خبر آلودگی بیش از ۷۰ هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیب پذیری های دستگاه­های میکروتیک اینبار با هدف بهره برداری ارزکاوی آغاز شد. هم‌زمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور نمود که در اولین مشاهدات تعداد ۱۵۷ دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد. برای جلوگیری از افزایش خسارات ناشی از این حملات، مرکز ماهر اقدام به انتشار چندین اطلاعیه و ارایه راهکاری های کنترلی نمود. اما به دلیل عدم توجه کافی به هشدارها و اطلاعیه های مرکز ماهر و توجه نشان دادن هکر ها به این نوع حملات و همچنین آلوده سازی دستگاه­ها توسط فرآیند خودکار شاهد افزایش روز افزون تعداد دستگاه­های آلوده شده در کشور هستیم. روند صعودی این حمله در نمودار زیر نمایش داده شده است. همانطور که در بخش هایی از نمودار مشاهده می شود، در روزهای اخیر این روند صعودی تسریع شده و به صورت ساعتی در حال افزایش تعداد قربانیان می باشد.

تا لحظه نگارش این گزارش بیش از ۱۷،۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است.در حال حاضر از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ‌ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست. بررسی های کارشناسان مرکز ماهر حاکی از این نکته است که منشاء حملات این ۱۷،۴۵۲ دستگاه حداکثر ۲۴ مهاجم می باشند.

نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمین و سرقت رمز عبور و اخذ دسترسی،‌ حتی بعد از بروزرسانی firmwareنیز همچنان در کنترل مهاجمین قرار دارند. شرکت‌های بزرگ و کوچک ارائه خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند.

دستورالعمل پاکسازی دستگاه‌های آلوده

با درنظر گرفتن این شرایط، لازم است به منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیب‌پذیری مجدد، اقدامات زیر صورت پذیرد:

1. قطع ارتباط روتر از شبکه
2. بازگردانی به تنظیمات کارخانه‌ای (Factory reset)
3. بروزرسانی firmwareبه آخرین نسخه منتشر شده توسط شرکت میکروتیک
4. تنظیم مجدد روتر
5. غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی صرفاً از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPNانجام گردد)
6. با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستم‌های تحت کنترل خود تغییر دهید.

درصورتی که راه‌اندازی و تنظیم مجدد امکان پذیر نیست، می توان مراحل زیر را جهت پاکسازی روتر اجرا نمود. با این وجود همچنان روش فوق توصیه می‌گردد:

1. اعمال آخرین نسخه بروزرسانی بر روی دستگاه های میکروتیک[1]
2. بررسی گروه های کاربری و حساب های دسترسی موجود
3. تغییر رمز عبور حساب های موجود و حذف نام های کاربری اضافی و بدون کاربرد
4. بررسی فایل های webproxy/error.htmlو flash/webproxy/error.html
   1. حذف اسکریپت ارزکاوی(coinhive) از فایل
   2. حذف هر گونه تگ اسکریپت اضافه فراخوانی شده در این فایل ها
5. حذف تمامی Scheduler Taskهای مشکوک
6. حذف تمامی اسکریپت های مشکوک در مسیر System/Script
7. حذف تمامی فایل های مشکوک در مسیر فایل سیستم و پوشه های موجود
8. بررسی تنظیمات بخش فایروال و حذف Ruleهای اضافی و مشکوک
9. اضافه کردن Ruleهایی برای اعمال محدودیت دسترسی از شبکه های غیرمجاز
10. بررسی جدول NATو حذف قوانین اضافی و مشکوک
11. غیرفعال کردن دسترسی Webو Telnet
12. محدود کردن دسترسی های مجاز به Winbox
13. غیرفعال کردن دسترسی به پورت های مدیریتی از خارج شبکه داخلی
14. بررسی تنظیمات بخش Snifferو غیرفعال کردن Captureو Streamingدر صورت عدم استفاده
15. غیرفعال کردن تنظیمات web proxyدر صورت عدم استفاده
16. غیرفعال کردن تنظیمات Socksدر صورت عدم استفاده

در ادامه به اطلاع می‌رساند فهرست کلیه تجهیزات آلوده‌ی شناسایی شده به تفکیک شرکت‌ها و سازمان‌های مالک، به سازمان تنظیم مقررات رادیویی ارسال شده و تبعا درصورت عدم اقدام این شرکت‌ها در راستای پاکسازی و رفع آسیب‌پذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.

توسعه‌دهندگان سیستم مدیریت محتوای #‫Drupal نقص‌‌های مختلف از جمله #‫آسیب‌پذیری‌هایی که می‌توانند منجر به اجرای کد راه‌دور شوند را برطرف ساخته‌اند. یکی از این شکاف‌‌های امنیتی که «بحرانی» رتبه‌بندی شده، ماژول Contextual Links را تحت‌تأثیر قرار داده و لینک‌های متنی درخواستی را به‌درستی اعتبارسنجی نمی‌کند. این آسیب‌‌پذیری می‌تواند منجر به اجرای کد راه‌دور شود، اما مهاجم برای سوءاستفاده، نیاز به یک حساب کاربری دارای مجوز «دسترسی به لینک‌های متنی» دارد.
نقص بحرانی دیگر، یک مشکل تزریق در تابع DefaultMailSystem::mail() است. این مشکل ناشی از عدم پاکسازی (sanitization) برخی از متغیر‌ها برای آرگومان‌های شل (shell) در هنگام ارسال رایانامه‌ها است.
لازم به ذکر است که در Drupal، رتبه‌بندی «بحرانی» دومین سطح خطر امنیتی و پس از «بسیار بحرانی» است. پس از «بحرانی»، رتبه‌بندی «نسبتا بحرانی» را داریم.
سه آسیب‌پذیری دیگری که در سیستم مدیریت محتوای Drupal برطرف شده‌اند، رتبه‌بندی «نسبتا بحرانی» را به خود اختصاص داده‌اند. این آسیب‌پذیر‌ها، شامل یک مشکل دورزدن دسترسی مربوط به تعدیل محتوا و دو اشکال هدایت باز (open redirect) است.
یکی از اشکالات مربوط به هدایت باز پیش از انتشار وصله، به صورت عمومی مستندسازی شده ‌بود. توسعه‌دهندگان Drupal هشدار داده‌اند که تغییرات پیاده‌سازی‌شده برای رفع ضعف دورزدن دسترسی می‌تواند پیامدهایی برای سازگاری عقبگردها داشته باشد.
این آسیب‌پذیری‌ها، با انتشار نسخه‌های 7.60، 8.6.2 و 8.5.8 Drupal رفع شده‌اند.
به کاربران توصیه می‌شود در اسرع وقت به‌روزرسانی‌های امنیتی را نصب نمایند، زیرا آسیب‌پذیری‌های Drupal در سال‌های گذشته اغلب مورد سوءاستفاده‌ی هکرهای مخرب قرار گرفته‌اند.