کمیته رکن چهارم – اخیرا محققان امنیتی در تحقیقات خود از یک شیوه جدید هک “EtherOops” رونمایی کردند. روش شناسایی شده به مهاجمان سایبری این امکان را می دهد تا از آسیب پذیری موجود در کابل های اترنت برای دور زدن فایروال ها و NAT بهره برداری کنند.
باگ موجود در کابل های اترنت قبلا شناسایی شده بود اما متخصصان امنیتی آن را non-exploitable یا غیر اکسپلویت شدن در نظر گرفته بودند. اما اکنون بنا به تحقیقات گسترده تر و شواهد موجود آن را قابل اکسپلویت شدن و Etheroops نامگذاری کردند. این آسیب پذیری فقط در صورتی قابل عملیاتی شدن است که شبکه سیستم هدفمند شامل کابل های معیوب اترنت در مسیر حمله مهاجمان به قربانیان باشد.
حمله Etheroops چگونه قابل عملیاتی شدن است؟
حمله Etheroops در درجه اول حمله ای به صورت packet-in-packet است. این حملات معمولاً هنگامی رخ می دهند که بسته های شبکه درون یکدیگر قرار می گیرند. غالبا بیرونی ترین جزء یک پکت یا بسته از دید فرآیندهای امنیتی بی خطرترین جزء آن بسته یا پکت می باشد و معمولا سیستم های امنیتی در داخل بسته دنبال کدها و دستورات مخرب هستند. بررسی سطحی فایروال ها و سیستم های تشخیص نفوذ روی اجزاء بیرونی یک بسته خود موجب می شود تا پیلود طراحی شده به راحتی حتی با کمک فرآیندهای امنیتی به داخل شبکه منتقل شود.
چه پیش نیازهایی برای این گونه حملات لازم است ؟
پیش شرط هایی برای موفقیت آمیز بودن این گونه حملات نیاز است که ما در ادامه به ضروریات این حمله قدم به قدم اشاره می کنیم
۱) ارسال بسته های بی خطر از طریق Firewall / NAT
این مرحله شامل فرآیند ارسال جریانی از بسته های بی خطر و مشروع توسط فایروال / NAT است.
۲) بروز اشتباه در bit-flips بواسطه کابل های معیوب
bit-flip ها فرآیندی هستند که منجر به رفع ایرادات در تبادل ارتباطی کابل ها می شوند این یک روش معمول است تا ویندوز بتواند مشکلات سخت افزاری را تشخیص دهد (به عنوان مثال: ایرادات مموری یا داغ شدن بیش از حدد CPU). در اینجا انتظار می رود که bit-flip ها به درستی کار کنند اما برای عملیاتی شدن حمله، نیاز به تصادم در کابل های اترنت هدف مورد نظر می باشد
۳) دستکاری Checksum (یا: یافتن آدرس های MAC داخلی)
معمولا یک ابزار checksum که در framing هدرهای انتقالی در اترنت موجود است که به شناسایی فایل های مخرب کمک می کند. برای عملیاتی شدن حمله فوق باید Checksum دستکاری شود.
به گفته محققان امنیتی،
کابل اترنت معیوب دارای یک بک گراند اینترفیس الکترومغناطیسی (EMI) است. کابل محافظت نشده غالبا با سیگنال ضعیف فعالیت خود را انجام می دهد و این سیگنال در سطوح بالاتر EMI حساس می شود. دستگاه های خاصی وجود دارند که می توانند یک پالس الکترومغناطیسی را منتقل و در آن ایجاد اختلال کنند که به آن EMP نیز می گویند. این دستگاه ها از لرزش های پهنای باند (بین ۱۰۰MHz – ۲GHz) بهره می برند تا در کابل کشی ها اختلال ایجاد کنند.
منبع: ایران سایبر
