منبع اصلی نوشتار زیر در این لینک قرار دارد

خبری منحصربفرد: بیش از 200000 روتر TP-LINK در الجزایر در برابر نفوذ هکرها آسیب پذیرند.

خبری منحصربفرد:  بیش از 200000 روتر TP-LINK در الجزایر در برابر نفوذ هکرها آسیب
پذیرند.

 

بیش از 15.2% از جمعیت الجزایر از
اینترنتی استفاده می کنند که توسط حدود
30 شرکت فراهم کننده خدمات
اینترنتی ارائه می شود که شرکت
Algerie Telecom
در این میان بیشترین سهم را داراست.


این شرکت برای اغلب مشترکان اینترنتی خود
مودم/روتر های
TP-LINK مدل W8951ND را در اختیار می گذارد
که در آنها از
firmware تولید شده شرکت ZYXEL استفاده می شود.


ABDELLI Nassereddine که یک متخصص نفوذ به
شبکه(
pen tester) و دانشجوی رشته علوم
کامپیوتر است گزارش کرده است که در روترهایی که شرکت
Algerie Telecom در اختیار مشترکانش قرار می دهد،
آسیب پذیری هایی در خصوص افشای رمز عبور و امکان بحرانی دسترسی غیر مجاز وجود
دارد.


او در The Hacker News
می گوید: آسیب پذیری ها می توانند هر هکری از راه دور مورد استفاده قرار بگیرند در
صورتیکه کافیست یک دسترسی ساده به
loophole موجود در firmware داشته باشند.


ابتدا او فهمید که یک امکان دسترسی غیر مجاز در Firmware/Romfile Upgrade دستگاه، در قسمت پنل روتر
وجود دارد که با وارد کردن آدرس
http://ip/rpFWUpload می توان بدون رمز عبور به
روتر دسترسی پیدا کرد. این صفحه در واقع به کاربر امکان
upgrade کردن firmware یا backup گرفتن از آن را می دهد.


این romfile حاوی رمز عبور admin است که توسط متد مهندسی معکوس می
توان آن را بصورت
clear text استخراج نمود. سرویس
آنلاین و رایگانی برای این کار وجود دارد. کافیست
romfile را به آدرس http://50.57.229.26/zynos.php ارسال کنید و رمز عبور admin را بصورت plain text دریافت نمایید. 
رمز عبور بصورت زیر در اولین سطر نمایش داده می
شود.

این دانشجو مدعی شده است که با دانستن ip range الجزایر مانند 41.107.x.x این کار را روی روتر های
زیادی انجام داده و متوجه شده که هزاران روتر در این شبکه توسط هکرها آسیب پذیر(
vulnerable) هستند. با جستجوی سریعی در موتور
جستجوی
SHODAN و جستجوی عبارت RomPager Country:dz نشان داده می شود که 259744  دستگاه موجود در این شبکه از این نوع هستند که 95% آنها دارای چنین ریسک
امنیتی می باشند.


او همچنین یک Exploit script در Github قرار داد که می تواند یک subnet شبکه را اتوماتیک چک کرده و روترهای
آسیب پذیر به همراه رمز عبور آنها را لیست کند.

با استفاده از این نقطه آسیب پذیری کافیست DNS server های روتر قربانی را تغییر داده و
تمامی ترافیک آن را به سمت یک سرور غیر معتبر
redirect نمود. این دقیقا همانند حملاتی از
جنس
phishing است که می تواند این
ترافیک ها را به سمت هر سروری روی اینترنت مانند
facebook, gmail, bank accounts و غیره هدایت کرد و آنها
را در معرض حمله قرار داد و با ترافیک بیش از حد، آنها را از کار انداخت.


تا کنون هیچ وصله امنیتی برای این دستگاه ها
ارائه نشده است. فعلا تنها راه محافظت برای دور نگه داشتن هکرها از این ضعف امنیتی
این است که ترافیک پورت
80 روتر را می توان به یک سایت دیگر با
یک
ip استفاده نشده در شبکه redirect کرد.


این مقاله از این جهت نظرم را جلب کرد که این
روترها با توجه به قیمت مناسبشان در ایران ممکن است زیاد استفاده شده باشند و ضعف
امنیتی آن می تواند تهدیدی جدی برای کاربران ایرانی نیز باشد.


ترجمه از سایت The Hacker News به تاریخ 15 ژانویه 2014 



برچسب ها :