امنیت مودم روترهای خانگی و روترهای صنعتی 2
در مطلب گذشته (امنیت مودم روترهای خانگی و روترهای صنعتی ۱)، در مورد مودم ها نوشته بودیم و آسیب پذیری که می توانست مودم های خانگی و حتی روترها را تحت تاثیر قرار دهد و تهدید های زیادی را با سناریو های مختلف برای کاربران داشته باشد. مشکلات زیادی در این زمینه هست که سعی می کنیم، در این مطلب به بخش های قابل انتشار آن بپردازیم:
آسیب پذیری Misfortune Cookie :
این آسیب پذیری توسط محققین شرکت Check point چند سال قبل به شماره CVE-2014-9222 ثبت شده . همینطور وبسایتی بصورت اختصاصی برای این آسیب پذیری ساخته شده و به طور کامل به آن پرداخته .این آسیب پذیری زمانی که منتشر شد بیش از ۲۰۰ مدل مختلف از مودم هایی که از RomPager نسخه پایین تر از ۴.۳۴ و به خصوص نسخه ۴.۰۷ استفاده میکردند را در بر می گرفت.طبق گفته محققین شرکت check point این آسیب پذیری باعث می شود که نفوذگر پروسه ی احراز هویت را دور زده و بدون نیاز به داشتن شناسه کاربری و رمز عبور بتواند به پنل مدیریتی دسترسی سطح ادمین داشته باشد. روال کار آسیب پذیری به این صورت هست که: متخصصین امنیت، کوکی خاصی را ساختند تا با ارسالش به مودم، برنامه روتر محتوا را روی حافظه انتقال داده و تلاش می کند تا آن را اجرا کند. این عمل در نهایت باعث می شود تا پروسه احراز هویت دورزده (bypass) شود و دیگر نیازی به احراز هویت برای دسترسی به مودم نباشد. در این حالت حتی RCE یا اجرای کد از راه دور هم امکان پذیر است .اما موضوع اصلی بحث ما بررسی این آسیب پذیری و نحوه اکسپلویت شدن آن نیست. میخواهیم نشان دهیم در ساده ترین حالت، چه مقدار دستگاه های آسیب پذیر در ایران وجود دارند که مجرمین سایبری میتوانند از آنها سو استفاده کنند . دقت داشته باشید، همونطور که در موضوعات قبلی گفته شد، دسترسی ادمین بر روی روتر و مودم می تواند باعث ایجاد خطرات و حملات مختلفی شود. همچون: مانیتور کردن ترافیک کل شبکه و سرقت شناسه های کاربری و رمز های عبور و همینطور توزیع و گسترش بدافزارها و… که از کامپیوتر و موبایل گرفته تا دوربین های امنیتی و حتی یخچال و توستر متصل به شبکه اینترنت در خطر هستند.
بر طبق مطلبی که در سایت مربوط به آسیب پذیری گفته شده، محققین برای اکسپلویت کردن RomPager از ارتباط TR-069/CWMP استفاده کردند، که پورت پیش فرض مربوط به این سرویس ۷۵۴۷ هست.با استفاده از شودان یک جستجو انجام میدهیم تا ببینیم چه تعداد مودم از این پورت و نسخه آسیب پذیر گفته شده در ایران استفاده می کنند:
خب، طبق نتیجه ای که از شودان اینجا می بینیم، فقط یک دستگاه را نشان می دهد، که هم از نسخه آسیب پذیر استفاده میکند و هم روی پورتی که محققین check point گفتند در حال اجراست. (بحث در اینجا فقط نسخه 4.07 هست که چهار سال پیش آسیب پذیری آن کشف شد) .دلیل این اتفاق دو حالت دارد: یا آسیب پذیری به طور کل برطرف شده و دستگاه ها بروزرسانی شدند و یا اقدامی صورت گرفته که نتایج کاملی دریافت نمیشود.
همین جستجو را اینبار بدون در نظر گرفتن پورت دیفالت انجام می دهیم و فقط می خواهیم ببینیم در کشور ما چند سیستم از نسخه آسیب پذیر استفاده می کنند. حالا بدون در نظر گرفتن فیلتر پورت :
حالا اینجا به عدد ۴۹۸۸ دستگاه میرسیم که از نسخه ای از RomPager استفاده می کنند که گفته شد آسیب پذیر هستند. همونطور که میبینید، همه اینها مربوط به بحث احراز هویت است و به نظر باید نتیجه ها درست باشند.حالا با توجه به اینکه ما چند مورد را بررسی کردم، بیشتر اونها از درگاه ۸۰۸۰ استفاده میکنند و نتیجه این است که معیار فقط پورت ۷۵۴۷ نیست و آسیب پذیری ممکن است روی پورت های دیگر وجود داشته باشد.فیلتر را روی پورت ۸۰۸۰ قرار می دهیم و جستجو می کنیم :
همانطور که می بینید بیشتر مواردی که نمایش داده شده است روی درگاه ۸۰۸۰ فعال هستند و همچنان از نسخه آسیب پذیر استفاده می کنند.نتیجه یک جستجوی دیگر بدون فیلتر کشور ما را به رقم 234847 دستگاه میرساند که در کل اینترنت از نسخه قدیمی و آسیب پذیر استفاده می کنند. به همین جستجو، یک فیلتر درگاه ۸۰۸۰ اضافه کردیم و نتیجه به این شکل شد:
متاسفانه ایران اولین کشور در بین کشور های دارای سیستم های قابل نفوذ و آسیب پذیر است. با این تفاوت که درگاه از ۷۵۴۷ به ۸۰۸۰ تغییر کرده است و دلیلی واضحی برای آن نیست. همچنین باید گفت: بیشتر مواردی که در ایران پیدا شدند همه از بخش های مهم و دولتی و همینطور سرویس دهنده های اینترنت بودند :
که به تعداد قابل توجهی می توان Information Technology Company (ITC) و Telecommunication Company of [Province] را در این نتایج دید. در ادامه برای اطمینان از وجود این آسیب پذیری، از اسکریپت http-vuln-misfortune-cookie در nmap استفاده کردیم. همچنین بررسی ای که به صورت اتفاقی بر روی درگاه های دیگر انجام شد، نشان داد که بیشتر این آدرس ها آسیب پذیر هستند. نمونه بررسی بر روی درگاه 80 :
تغییر آدرس درگاه ها در بیشتر مواقع فقط در حد جلوگیری از آلوده شدن توسط ربات ها و بدافزار هایی است که به صورت دسته ای حمله می کنند، و اگر حمله به صورت مستقیم توسط هکر انجام شود، مطمئنا راه کار مناسبی نیست.
عدم غیر فعال شدن واقعی سرویس ها:
همچنین بررسی بر روی یک مودم معمول در ایران نشان داد که حتی بعد از غیر فعال کردن بعضی قابلیت ها از طریق پنل وب مدیریت ، باز هم آن پورت ها در دسترس بودند (restart انجام شد و IP جدید هم گرفت):
در پایان هم باید گفت که مشکلات دستگاه های مبتنی برسفتافزار (Firmware) بسیار بیشتر از مطالبی است که در یک گزارش عمومی میتوان منتشر کرد و باید توسط مسئولین جدی گرفته شوند و متاسفانه شاهد آن هستیم که سالهاست ارایه دهنده های اینترنت بدون توجه به امنیت مودم ها و فقط با هدف راه اندازی سرویس انواع ارزان قیمت آنها را وارد میکنند و در انتشار این بمب های ساعتی نقش بسزایی دارند.
حسین و جواد