حمله سایبری به ۹ هزار روتر

کمیته رکن چهارم – یک آسیب‌پذیری تازه، زمینه ساز حملات سایبری گسترده به روترهای سیسکو شد.

حمله سایبری به روترهای سیسکو موضوع تازه‌ای نیست و بارها شاهد این واقعیت بودیم که روترهای این شرکت، آسیب‌پذیری‌های جدی‌ای دارند. این موضوع، سبب شده ۹ هزار روتر شرکت سیسکو، در سراسر جهان، هدف تهاجم سایبری قرار گیرند.
آسیب‌پذیری‌ یادشده، مربوط به مسیریاب‌های سیسکو در ۲ مدل‌ RV320 و RV325 است که چند روز پیش شناسایی شدند و ازسوی مهاجمان سایبری، مورد حمله قرار گرفتند.

آسیب‌پذیری با شناسه‌ی CVE-2019-1652 که می‌تواند منجر به حمله‌ی تزریق کدهای دستوری شود و آسیب‌پذیری با شناسه‌ی CVE-2019-1653 که می‌تواند منجر به افشای اطلاعات شود و هر دو در واسط مدیریتی وب مسیریاب‌ها شناسایی شده‌اند، توسط نفوذگران مورد بهره‌برداری قرار گرفته‌اند. آسیب‌پذیری اول نیازمند دسترسی ادمین است، اما آسیب‌پذیری دوم نیاز به این دسترسی ندارد و البته هر دو از راه دور قابل بهره‌برداری هستند.

به این ترتیب، یک مهاجم با استفاده از آسیب‌پذیری دوم، ابتدا اطلاعات مربوط به کاربر ادمین را به دست می‌آورد و سپس با سوء‌استفاده از آسیب‌پذیری اول،‌ دستورهای غیرمجاز را در به این مسیریاب‌ها تزریق می‌کند.

کارشناسان امنیت سایبری شرکت RedTeam، این آسیب‌پذیری‌ها را شناسایی کردند و آن‌ها را به صورت خصوصی به سیسکو گزارش دادند. همزمان با انتشار وصله‌هایی برای این آسیب‌پذیری از طرف سیسکو، پژوهشگران،‌ روش‌های مفهومی و کدهای مربوط به سوء‌استفاده از این دو آسیب‌پذیری را منتشر کرده‌اند. این کدهای سوء‌استفاده هم‌اکنون نیز در وب‌گاه گیت‌هاب موجود است.

یک جست‌‌و‌جوی نسبتا ساده در موتور جست‌و‌جوی شودان نشان می‌دهد دست‌کم ۲۰ هزار عدد از این مسیریاب‌ها فعال هستند؛ اگرچه نمی‌توان نتیجه گرفت کدام یک از آن‌ها هنوز به‌روز‌رسانی نشده است. به گفته‌ی پژوهشگران، اغلب این مسیریاب‌ها در کشور آمریکا مستقر هستند و نمونه‌های چندانی از آن‌ها در ایران موجود نیستند.

در فوریه ۲۰۱۶، سیسکو محصول فایروال جدیدی را با هدف تغییر در نحوه ارائه سرویس های امنیتی در برابر تهدیدات سایبری عرضه کرد. سیسکو اظهار داشت: