روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ حملات اخیر DDoS با مقیاس بزرگ که از باتنت جدیدی به نام Mēris استفاده میکردند در هر ثانیه تقریباً به 22 میلیون درخواست رسیده است. به نقل از تحقیقات Qrator، دستگاههای شبکهایِ MikroTik حجم بالایی از ترافیک این باتنت را به خود اختصاص دادند. متخصصین MikroTik وقتی این وضعیت را تحلیل کردند هیچ آسیبپذیری جدیدی در روترهای این شرکت پیدا نکردند. با این حال آسیبپذیریهای قدیمی شاید هنوز عامل تهدید به حساب بیایند. از این رو برای این تضمین داده شود روتر شما به باتنت Mēris (یا هر باتنت دیگری برای این منظور) ملحق نشده میبایست به چند توصیه عمل کنید. با ما همراه بمانید.
چرا دستگاههای MikroTik دارند به این باتنت ملحق میشوند؟
چند سال پیش، تحقیقات امنیتی آسیبپذیریای را در روترهای MikroTik کشف کرد: Winbox، یک ابزار تنظیمات برای روترهای MikroTik که از طریق آنها بسیاری از دستگاهها دستکاری میشدند. گرچه MikroTik سال 2018 این آسیبپذیری را رفع کرد اما ظاهراً همه کاربران هم روترهای خود را آپدیت نکردند. علاوه بر این، حتی میان آنهایی هم که دستگاههای خود را آپدیت کردند همه هم به توصیههای تغییر پسورد تولیدکننده گوش ندادند. اگر کاربری پسورد را عوض نمیکرد پس حتی سفتافزار آپدیتشده هم نمیتوانست جلوی لاگین شدن مهاجمین را به روتر و اکسپلویت کردنِ مجدد آن را بگیرد. به نقل از شرکت MikroTik، روترهایی که اکنون به Mēris مبتلا هستند همان دستگاههایی هستند که سال 2018 دستکاری شده بودند. این شرکت شاخصهایی از دستکاری دستگاه را نشر داد و نیز توصیههایی را صادر کرد.
چطور تشخیص دهیم روتر MikroTik شما بخشی از باتنت است
وقتی روتری به باتنت ملحق میشود، مجرمان سایبری تعداد تنظیمات را در سفتافزار دستگاه تغییر میدهند. بنابراین اولیه توصیه MikroTik نگاه کردن به تنظیمات دستگاه است و بعد بررسی موارد زیر:
- قانونی که اسکریپت را با متود fetch اجرا کند. این قانون را در صورت وجود حذف کنید (زیر System → Scheduler).
- پروکسی SOCKS فعالسازی شود. این تنظیمات را زیر IP → SOCKS پیدا خواهید کرد (اگر آن را استفاده نمیکنید غیرفعالش نمایید).
- یک کلاینت L2TP به نام lvpn (یا هر کلاینت L2TP که به چشمتان ناآشنا میآید). این کلاینتها را هم پاک کنید.
- قانون فایروالی که اجازه دسترسی ریموت از طریق پورت 5678 را بدهد. این قانون را هم حذف کنید.
توصیههایی برای محافظت از روتر MikroTik شما
آپدیتهای منظم بخش مهمی هتسند از هر استراتژی موفق تدافعی. حفظ امنیت یک شبکه MikroTik تا حد زیادی در گروی دنبال کردن بهترین اقدامات امنیتی شبکه است.
- مطمئن شوید روتر شما از جدیدترین سفتافزار موجود استفاده میکند و آن را نیز مرتباً به روز کنید.
- دسترسی ریموت به دستگاه را غیرفعال کنید مگر کاملاً بدان نیاز داشته باشید.
- باری دیگر میگوییم اگر شدیداً نیاز دارید دسترسی ریموت را تنظیم کنید؛ آن هم از طریق یک کانال ویپیان. برای مثال از یک پروتکل IPsec استفاده کنید.
- از پسوردی استفاده کنید که طولانی و قوی باشید. حتی اگر پسورد فعلی شما قوی است همین الان تغییرش دهید.
به طور کلی فرض را بر این بگیرید که شکه محلی شما امن نیست و اگر یکی از کامپیوترها مبتلا شود بدافزار میتواند از داخل محیط شما به روتر هم حمله کرده و با جستجوی فراگیر پسوردهای شما را نیز تحت اختیار خود قرار دهد. برای همین است که به نوبه خود توصیه میکنیم از راهکارهای امنیتی قابل اطمینان روی همه کامپیوترهای متصل به اینترنت استفاده کنید.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.