کمیته رکن چهارم – محققان Mandiant حمله ای را شناسایی کردند که در آن میان افزاری آسیب پذیر بر روی مسیریاب های شرکت هایی از چهار کشور نصب شده است.
به گزارش کمیته رکن چهارم،محققان Mandiant حمله ای را شناسایی کردند که در آن میان افزاری آسیب پذیر بر روی مسیریاب های شرکت هایی از چهار کشور نصب شده است.
در این حمله که SYNful Knock نامیده می شود مهاجمان می توانند با بالاترین حق دسترسی به دستگاه آلوده دسترسی داشته باشند. این حمله با بدافزاری که بر روی مسیریاب مشتریان شناسایی شد و می تواند حافظه دستگاه را پاک کند تفاوت دارد.
SYNful Knock یک تغییر در سیستم عامل IOS است که بر روی مسیریاب ها و سوئیچ های پیشرفته اجرا می شود و توسط شرکت سیسکو طراحی شده است. این مساله توسط محققان Mandiant بر روی مسیریاب های سیسکو ۱۸۴۱، ۸۲۱۱ و ۳۸۲۵ که توسط سازمان ها برای ارتباط بین شعبه های آن ها یا توسط ارائه دهندگان خدمات برای ارائه سرویس های شبکه استفاده می شود شناسایی شده است.
این محققان نسخه های تقلبی میان افزار را بر روی ۱۴ مسیریاب در کشورهای مکزیک، اوکراین، هند و فیلیپین مشاهده کرده اند.
مدل هایی که تحت تاثیر این حمله قرار گرفته اند از شرکت سیسکو خریداری نشده اند اما هیچ تضمینی وجود ندارد که مدل های جدیدتر تحت تاثیر آن قرار نگیرند.
شرکت سیسکو در ماه اوت راهنمایی امنیتی منتشر کرد و در آن نسبت به حملات جدیدی که میان افزارهای تقلبی را بر روی مسیریاب های این شرکت نصب می کند هشدار داد.
در حملاتی که توسط محققان Mandiant شناسایی شده است، این حملات ناشی از سوء استفاده از آسیب پذیری نبوده اند بلکه از طریق اعتبارنامه های مدیریتی پیش فرض یا به سرقت رفته اجرا شده است. تغییراتی که در تصاویر میان افزار تقلبی صورت گرفته است به گونه ای است که سایز این میان افزار با سایز میان افزار اصلی یکسان باشد.
نسخه تقلبی این میان افزار دارای یک backdoor رمز عبور است که می توان به کنسول مدیریتی دسترسی یافت و هم چنین دستورات حاوی بسته های TCP SYN دستکاری شده خاص را شنود کرد.
مسیریاب هایی که تحت تاثیر این حمله قرار دارند می توانند به مهاجمان اجازه دهند تا ترافیک شبکه را شنود کرده و یا تغییر دهند، کاربران را به سمت سایت های جعلی هدایت کنند و حملات دیگری را بر روی دستگاه ها، سرورها و رایانه های مستقر در شبکه های ایزوله راه اندازی نمایند.
محققان Mandiant راه هایی را ارائه دادند که می توان به کمک آن حملات SYNful Knock را بر روی مسیریاب های محلی و مسیریاب های شبکه شناسایی کرد.
منبع:مرکز ماهر
