از دست رفتن کنترل شرکت TPlink بر دامنه‌های تنظیمات مسیریاب‌های خود

شرکت TPlink به‌عنوان یکی از شرکت‌های عظیم تولیدکننده‌ی مسیریاب، کنترل خود را بر دو دامنه‌ کلید که هر ماه به وسیله‌ی میلیون‌ها مصرف‌کننده و شرکت‌های کوچک مورد استفاده قرار می‌گرفتند، از دست داد. این دامنه‌ها که برای تنظیم مسیریاب‌های این شرکت مورد استفاده قرار می‌گیرند، منقضی شده و به کارگزاران نام دامنه که به دنبال خریدار برای آن‌ها هستند، فروخته شده است.

کارشناسان امنیتی می‌گویند که این دامنه‌ها در خطر هستند چرا که توسط مجرمان سایبری خریداری شده و بتوانند به راحتی از این دامنه‌ها برای کنترل میلیون‌ها مسیریاب استفاده کنند به نحوی که بتواند ترافیک ارسالی از آن‌ها را تغییر مسیر داده و ثابت‌افزار های مخربی را در آن‌ها نصب کنند و در نهایت به میلیون‌ها مشتری مسیریاب‌های TPlink حمله کنند.

با توجه به تحقیقات بازاریابی صورت گرفته توسط شرکت IDC، شرکت TPlink مستقر در چین به عنوان شرکت پیشرو در ساخت مسیریاب‌های وای‌فای در جهان مطرح است. این شرکت در سال ۲۰۱۵ به میزان ۵۷.۸ میلیون مسیریاب فروخته است و به گفته‌ی شرکت IDC از شرکت‌های Netgear و دی لینک پیشی گرفته است.

دو دامنه‌ی مورد بحث عبارتند از tplinklogin.net و tplinkextender.net دامنه‌ی tplinklogin.net به وسیله‌ی شرکت TPlink مورد استفاده قرار می‌گیرد تا کار را برای دارندگان مسیریاب این شرکت جهت دسترسی به تنظیمات صفحات دسترسی در بسیاری از مسیریاب‌های این شرکت آسان کند. دامنه‌ی tplinklogin.net بر روی برچسب پشت دستگاه‌های مسیریاب نوشته شده است و همچنین دربردارنده‌ی مدارک رسمی این مسیریاب‌ها بوده است.

شرکت TPlink درخواست مصاحبه با Threatpost را رد کرده است اما می‌گوید که استفاده از دامنه‌ی tplinklogin.net را در سال ۲۰۱۴ متوقف کرده است. این شرکت در بیانیه ارسالی برای Threatpost نوشته است: «هر محصولی که در آن زمان خریده شده است و از دامنه‌ی tplinklogin.net استفاده کرده، به‌صورت خودکار به صفحه‌ی تنظیمات داخلی تغییر مسیر داده شده است، بنابراین هیچ گونه مشکل امنیتی وجود ندارد».

به گفته‌ی آمیتای دن مدیرعامل شرکت Cybermoon که در ابتدا این آسیب‌پذیری را در هفته گذشته کرده بود؛ می‎گوید هنوز هم این مشکل، میلیون‌ها نفر را در خطر قرار داده است. او می‌گوید که تنظیمات ابتدایی دستگاه‌ها در حالت عدم اتصال به اینترنت از نشانی‌هایی استفاده می‌کنند که آن‌ها را به سمت صفحه تنظیمات صحیح هدایت می‌کند؛ اما بازدید متعاقب این مسیریاب‌ها از نشانی‌ها در سامانه‌هایی که به اینترنت متصل هستند آن‌ها را به سمت نشانی‌های می‌کشاند که دیگر در کنترل TPlink نیستند.

دن به Threatpost گفته است: «در حالتی اجرای تنظیمات اشتباه؛ یکی از این دامنه‌ها به مجرمان سایبری اجازه می‌دهد تا به شکلی باورنکردنی حملات wateing hole را اجرا کنند. همه‌ی شرکت‌ها و مصرف‌کنندگان می‌توانند در برابر این حمله آسیب‌پذیر باشند».

به گفته‌ی خدمات نظارت بر دامنه‌های Alexa دامنه‌ی tplinklogin.net به‌صورت ماهانه حدود ۴.۴ میلیون درخواست از سوی رایانه‌های شخصی و تلفن‌های همراه دریافت می‌کند. هنگامی‌که دن تلاش کرد تا دامنه‌ی tolinklogin.net را بخرد یکی از کارگزارهای ناشناس برای آن تقاضای ۲.۵ میلیون دلار پول کرد.

در مورد دامنه‌ی tplinkextender.net چیز زیادی گفته نمی‌شود به‌جز اینکه به‌وسیله‌ی شرکت TPlink به‌عنوان میانبری برای مشتریانی که می‌خواهند تا مسیریاب‌های TP-Link WiFi extender خود را پیکربندی کنند مورد استفاده قرار می‌گیرد. به گفته‌ی Alexa تقریباً ۸۱۰ هزار درخواست رایانه شخصی و تلفن همراه به‌صورت ماهانه برای این دامنه صورت می‌گیرد. شرکت TPlink درخواست اظهارنظر در مورد دامنه‌ی tplinkextender.net را رد کرده است.

به گفته‌ی دن، شرکت TPlink در چند سال گذشته از خرید یک دامنه دیگر خودداری کرده است و اکنون از یک دامنه‌ی جدید به‌عنوان tplinkwifi.net که در پشت مسیریاب‌ها نوشته شده است، استفاده می‌کند. برای مثال در پشت مسیریاب TP-Link Archer C۹ برچسب دامنه‌ی tplinkwifi.net نوشته شده است. همچنین دستورالعمل نصب TPlink نیز با دامنه‌ی tplinkwifi.net به روزرسانی شده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.