انجام پروژه ویپ و تلفن گویا

روترهاي خانگي در تيررس هکرها

شنبه ۱۰ آبان ۱۳۹۳


گزارش‌هاي امنيتي چند شركت معتبر از حملات گسترده عليه روترهاي بي‌سيم خانگي در كشور برزيل خبر دادند. در اين حمله‌ها، كاربران با حقه‌هايي وارد سايت‌هاي آلوده می‌شوند و بدون اين‌كه متوجه شوند، تنظيمات DNS روتر بي‌سيم خانگي‌شان كه اينترنت نيز روي آن به اشتراك گذاشته شده است، دستكاري مي‌شود. اگر اين حملات موفقيت‌آميز باشد، كاربران قرباني به وب‌سايت‌هاي جعلي بانكي هدايت مي‌شوند و مورد هدف حملات فيشينگ قرار مي‌گيرند.

hacker

محققان امنيتي شركت كسپرسكي اعلام كردند که اين‌گونه حملات با ارسال يك ايميل اسپم جعلي براي كاربران آغاز می‌شود. كاربران گول اين ايميل‌ها را خورده و روي لينك‌هاي درون ايميل كليك مي‌كنند. در حالي كه سايت‌هاي باز شده دربردارنده محتواي تبليغاتي يا آموزشي هستند، اما در پس‌زمينه مرورگرها، آدرس‌هاي URL آلوده بارگذاري و اجرا مي‌شوند. اين آدرس‌هاي URL به آدرس IP محلي روتر بي‌سيم كاربر دسترسي پيدا می‌کنند و با استفاده از نام كاربري و رمزعبور پيش‌فرضِ بیش‌تر اين دستگاه‌ها (كه مثلاً root:root، admin:admin يا dmin:gvt12345 است)، سعي مي‌كنند تنظيمات DNS Server را تغيير دهند. براي تغيير اين تنظيمات نيز، از اسكريپتي به نام dsncfg.cgi استفاده مي‌كنند كه بخشي از رابط كاربري مديريتي تحت وب مودم‌هاي ADSL است. اين مودم‌ها را شركت‌هاي ISP كشور برزيل ساخته‌اند و در اختيار مشتركان خود قرار دادند.

رمزعبور پيش‌فرض gvt12345، توسط روترهاي استفاده شده يك ISP به نام GVT در برزيل پيشنهاد شده است. اين گروه از روترها هدف اصلي حملات تزريق DNS بودند، زیرا حدس زدن نام كاربري و رمزعبور آن‌ها ساده است. كارشناسان كسپرسكي مي‌گويند: «در تحقيقات ابتدایی خود، 5 نام دامنه و 9 نام آدرس DNS Server را شناسايي كرديم كه حملات از طريق آن‌ها اجرا و هدايت مي‌شوند. همگي‌ اين آدرس‌ها سايت‌هاي جعلي فيشينگ سايت‌هاي معتبر و بزرگ بانكي كشور برزيل را ميزباني مي‌كنند.»

حملات تحت وبي كه مرورگر را وادار به انجام عمليات‌ غيرقانوني مي‌كنند و در نتيجه آن، كاربر ناخواسته به سوي بازديد سايت‌هاي فيشينگ جعلي هدايت مي‌شود، با نام حملات CSRF (سرنام cross-site request forgery) شناخته مي‌شوند. اين حملات به طور گسترده عليه دستگاه‌هاي روتر خانگي استفاده مي‌شوند كه دسترسي به پنل مديريتي تحت وب آن‌ها از طريق اينترنت ميسر نيست. حتي ممكن است كاربر رمزعبور پيش‌فرض روتر را تغيير داده باشد. در سال 2013 يك محقق امنيتي به نام جاكوب لِل، از حملات CSRF عليه روترهاي شركت تي‌پي‌لينك گزارش داد. در اين حملات نام كاربري و رمزعبور پيش‌فرض اين روترها admin:admin درنظر گرفته شده كه عملاً نيز همين اطلاعات صحيح بود و مهاجمان به راحتي توانستند تنظيمات DNS روتر را تغيير دهند.

لِل مي‌گويد: «حتي اكر نام كاربري و رمزعبور باهم تركيب شده باشند، مرورگر اين درخواست را ناديده گرفته و سعي مي‌كند تنظيمات پيش‌فرض يا تنظيمات ذخيره‌شده را براي دسترسي به پنل روتر آزمايش كند.» او در وبلاگ خود می‌نویسد: «حتي اگر درخواست‌هاي دسترسي به پنل روتر روي كدهاي وضعيتي غيرمجاز HTTP 401 باشند، بازهم مرورگر يك URL معتبر ارسال مي‌كند.» مقصود او این است که در حملات CSRF حتي اگر كاربران رمزعبور پيش‌فرض روتر را تغييرداده باشند و رمزعبور جديد را روي مرورگر ذخيره کرده يا به دفعات زياد از طريق مرورگر وارد پنل روتر شده باشند، قرباني مي‌شوند و روتر آن‌ها هك خواهد شد. تحقيقات مؤسسه مستقل Security Evaluators نشان مي‌دهد 10 مدل روتر بي‌سيم پرفروش و محبوب سال 2013 در برابر حملات تحت وبي مانند CSRF آسيب‌پذير هستند. همچنين تحقيقات شركت امنيتي ديگري به نام Team Cymru نشان مي‌دهد طي يك حمله گسترده CSRF نزديك به 300 هزار روتر بي‌سيم هك شده و تنظيمات DNS آن‌ها تعويض شده است.

منبع : ماهنامه شبکه – مهر 1393 شماره 161

 

The following two tabs change content below.

فرزانه تقدیسی

کارشناس ارشد هوش مصنوعی - پس از اتمام دوره Elastix & MCSE & CCNA & CCNP و اخذ مدارک بین المللی در این حوزه مشغول به کار شدم

Latest posts by فرزانه تقدیسی (see all)

برچسب ها : , ,

» ارسال نظرات

تصویر ثابت