استفاده از آسیب پذیری قدیمی روترهای میکروتیک در دنیا برای انجام حملات گسترده DDOS

استفاده از آسیب پذیری قدیمی روترهای میکروتیک در دنیا برای انجام حملات گسترده DDOS

تاریخ ایجاد

بات نت جدید Meris متشکل از 250000 دستگاه آلوده به بدافزار، مسبب بزرگترین حملات DDOS اخیر در دنیا و از طریق روترهای میکروتیک بوده‌است. حملات هفته گذشته این بات نت، رکورد بزرگترین حملات حجمی DDOS را شکست. بنابر اطلاعیه شرکت میکروتیک این مساله با استفاده از آسیب پذیری روترهای قدیمی میکروتیک مربوط به سال 2018 بوده است.
از آنجایی‌که تعدادی از آدرس‌های IP مورد سو‌استفاده در این حمله متعلق به کشور ایران است، لذا کلیه کاربران تجهیزات میکروتیک جهت پیشگیری از وقوع حملات احتمالی این نوع بات نت در آینده، هر چه سریعتر نسبت به انجام دستورالعمل‌های ذیل اقدام نمایند:

• دستگاه میکروتیک خود را به‌طور منظم به‌روز کرده و به‌روز نگه دارید.
• دسترسی به دستگاه از طریق اینترنت را محدود نمایید، به‌طوری‌که امکان دسترسی به دستگاه بطور عمومی از طریق اینترنت وجود نداشته باشد؛ اگر نیاز به دسترسی از راه دور به دستگاه دارید فقط از طریق سرویس های VPN امن مانند IPsec این امکان را فراهم نمایید.
• از رمز عبور قوی استفاده کنید و آن را مرتباً تغییر دهید.
• تصور نکنید که شبکه محلی (local) یک شبکه امن است؛ چراکه اگر روتر شما توسط رمز عبور محافظت نشود و یا رمز عبور ضعیفی داشته باشد، بدافزار قادر است به شبکه محلی شما هم نفوذ کند.
• پیکربندی سسیتم‌عامل روتر (RouterOS) را برای یافتن تنظیمات ناشناخته بررسی کنید. تنظیماتی که در صورت وجود باید حذف شوند به شرح زیر هستند:

  • System => Schedulerهایی که یک اسکریپت Fetch را اجرا می‌کنند، حذف کنید.
  • IP => پروکسی‌های Socks. اگر از این قابلیت (پروکسی‌های Socks) استفاده نمی‌کنید یا از کارکرد آن اطلاع ندارید، باید آن را غیرفعال کنید.
  • کلاینت L2TP با نام «lvpn» و یا هر کلاینت L2TP ی که نمی‌شناسید.
  • قوانین فایروال که به پورت 5678 اجازه دسترسی می‌دهد.

بدافزاری وجود دارد که سعی می‌کند دستگاه میکروتیک را از طریق رایانه‌ی ویندوزی موجود در شبکه داخلی شما مجدداً پیکربندی کند؛ به همین دلیل بسیار مهم است که دستگاه‌های خود را با رمز عبور قوی محافظت کنید تا از حملات dictionary و نفوذ بدافزار جلوگیری شود. همچنین این بدافزار سعی می‌کند با بهره‌برداری از آسیب‌پذیری‌های موجود در نسخه‌های مختلف دستگاه به آن نفوذ کند (به‌عنوان‌مثال آسیب‌پذیری CVE-2018-14847 که مدت‌ها است وصله شده است)؛ به همین دلیل به‌روز نمودن دستگاه میکروتیک به آخرین نسخه و ارتقای نسخه‌ی آن به صورت منظم اکیداً توصیه می‌شود.
همچنین توصیه می‌شود با همکاری ISP خود آدرس‌های زیر که اسکریپت‌های مخرب به آنها متصل شده‌اند را مسدود کنید:

مسدودسازی دامنه‌های endpointهای تونل زیر:

  • *.eeongous.com
  • *.leappoach.info
  • *.mythtime.xyz

مسدودسازی دامنه‌های زیر که اسکریپت‌ها را دانلود می‌کنند:

  • 1abcnews.xyz
  • 1awesome.net
  • 7standby.com
  • audiomain.website
  • bestony.club
  • ciskotik.com
  • cloudsond.me
  • dartspeak.xyz
  • fanmusic.xyz
  • gamedate.xyz
  • globalmoby.xyz
  • hitsmoby.com
  • massgames.space
  • mobstore.xyz
  • motinkon.com
  • my1story.xyz
  • myfrance.xyz
  • phonemus.net
  • portgame.website
  • senourth.com
  • sitestory.xyz
  • spacewb.tech
  • specialword.xyz
  • spgames.site
  • strtbiz.site
  • takebad1.com
  • tryphptoday.com
  • wchampmuse.pw
  • weirdgames.info
  • widechanges.best
  • zancetom.com
  • همچنین دامنه‌های زیر نیز توسط بات نت مورد بحث مورد استفاده بوده است:
  • bestmade.xyz
  • gamesone.xyz
  • mobigifs.xyz
  • myphotos.xyz
  • onlinegt.xyz
  • picsgifs.xyz

منبع: https://blog.mikrotik.com/security/meris-botnet.html

برچسب‌ها
اخبار
هشدارها و راهنمایی امنیتی
  • 462