مرکز امنیت و‌ رخدادهای‌ سایبری | APK

مشاهده آسیب‌پذیری Remote Code Execution در روترهای Huawei

مشاهده آسیب‌پذیری Remote Code Execution در روترهای Huawei

اخیرا آسیب‌پذیری (Zero-Day (CVE-2017-17215 در روتر خانگی Huawei HG532 توسط محققین Check Point کشف شد و صدها هزار تلاش صورت گرفته برای سوءاستفاده از این نقطه‌ی آسیب‌پذیری که از نوع Remote Code Execution یا به اختصار RCE می باشد، مشاهده گردید. در واقع  Payload ارائه شده به عنوان OKIRU/SATORI شناسایی شده که یکی از انواع بروزرسانی‌شده‌ی بدافزار Mirai می‌باشد. لازم به ذکر است که عامل خطرآفرین ایجاد کننده‌ی این حمله با نام مستعار Nexus Zeta شناسایی شده است.

در ماه‌های پایانی سال گذشته میلادی، محققین Check Point متوجه شدند که تعدادی از سنسورها و Honey-Potهای Check Point هشدارهای امنیتی مشکوکی ایجاد می‌کنند. پس از بررسی‌های بیشتر، معلوم شد که چندین حمله بر روی پورت 37215 درحال انجام بوده که از یک آسیب‌پذیری ناشناخته در دستگاه‌های Huawei HG532 استفاده می‌کردند و این درحالی بود که در سرتاسر جهان الگوی حمله‌ مشابهی به سنسورها دیده می‌شد، به خصوص در ایالات متحده، ایتالیا، آلمان و مصر که تنها تعدادی از کشورهایی هستند که حمله در آن‌ها صورت گرفته است.

به محض اینکه تحلیلگران نتایج را تأیید نمودند، اطلاعات مربوط به آسیب‌پذیری به طور محرمانه در اختیار هواوی قرار گرفت تا از انتشار بیشتر این اطلاعات جلوگیری شود.

به لطف ارتباط سریع و کارآمد تیم امنیتی Huawei، این شرکت قادر بود به سرعت آسیب‌پذیری را رفع نموده و با ارائه‌ی یک Patch امنیتی، دستگاه تمامی مشتریان خود را بروزرسانی کنند. تیم‌های تحلیلگر شرکت Check Point نیز به طور موازی یک محافظت IPS را توسعه داده و منتشر کردند تا اطمینان حاصل شود که مشتریان این شرکت اولین کسانی هستند که تحت حفاظت قرار می‌گیرند.

عملکرد ربات Payload بسیار ساده و به این صورت است که هدف‌ها را در Packetهای UDP یا TCP که به طور دستی ساخته شده‌اند غرق (Flood) می‌نماید.

Payloadها به شرح زیر می باشد:

  • 7a38ee6ee15bd89d50161b3061b763ea mips
  • f8130e86dc0fcdbcfa0d3b2425d3fcbf okiru.x86
  • fd2bd0bf25fc306cc391bdcde1fcaeda okiru.arm

هنگام آغاز به کار، این ربات سعی می‌کند که آدرس IP یک سرور C&C را با استفاده از درخواست DNS با یک نام دامین Hard-Coded تجزیه نماید. سپس این ربات آدرس‌های دریافت شده از پاسخ‌های DNS را گرفته و سعی می‌کند با استفاده از پروتکل TCP با پورت هدف Hard-Coded 7645 در نمونه‌ای که مورد تحقیق قرار گرفته اتصال برقرار کند.

مانند بات‌نت Mirai، نام DNS و دیگر رشته‌ها توسط یک عملیات XOR ساده با ارزش 0x07 کدبرداری می‌شوند. همچنین این Payload شامل یک رشته‌ی کدگذاری نشده با دامین C&C جعلی می‌باشد که هرگز استفاده نمی‌شود و همچنین تعداد Packetها و پارامترهای متناظری که برای Flood Attack استفاده می‌شوند، با استفاده از همان سرور C&C ارسال می‌شوند. همچنین سرور C&C می‌تواند یک IP مجزا و یا یک Subnet را با استفاده از آدرس Subnet و تعدادی بیت ارزشمند (C Pseudocode) به منظور حمله منتقل نماید.

سرورهای حمله و Dropzoneها

  • 93.97.219
  • 211.123.69
  • 7.59.177
  • 106.110.90
  • nexusiotsolutions[.]net
  • nexuszeta1337@gmail[.]com

پس از ارسال Packetها، بات مورد نظر در انتظار پاسخ Hostهای مورد حمله نمی‌ماند و همچنین با توجه به بررسی‌های صورت گرفته، باینری این بات شامل تعداد زیادی رشته متن استفاده نشده با ترکیبی از رشته‌های پیچیده و ساده می‌باشد که به احتمال خیلی زیاد، این رشته‌ها بازمانده‌ی یک بات از نسخه‌ها‌ی قبلی و یا دیگر نسخه‌ها می‌باشند.

در نهایت پیگیری‌های امنیتی و با استفاده از آدرس ایمیلی که برای ثبت یک دامین C&C متعلق به بات‌نت nexusiotsolutions[.]net استفاده شده بود، مشخص گردید که مظنون مورد نظر یک مجرم سایبری با نام مستعار «Nexus Zeta» می‌باشد.

اشتراک امنیت

دسته ها