۱۳۵ میلیون مودم آماده حمله هستند

در سراسر جهان ۱۳۵ میلیون مودم وجود دارند که آسیب‌پذیری داشته و این اشکال می‌تواند از راه دور موجب شود مودم از کار افتاده و اینترنت کاربر قطع شود.
این آسیب‌پذیری ساده و قابل استفاده از سوی نفوذگران در یکی از معروف‌ترین و رایج‌ترین انواع مودم،Arris SURFboard SB۶۱۴۱، کشف است که توسط میلیون‌ها کاربر آمریکایی استفاده می‌شود.
محقق امنیتی، دیوید لانگنکر۱، این اشکال را کشف کرده‌ است که باعث شده مودم‌های مذکور در برابر حملات راه‌اندازی مجددِ غیرمجاز آسیب‌پذیر باشند.

اشکال موجود بسیار ساده است: عدم استفاده از گذرواژه!
شرکت آریس هیچ‌گونه احرازهویتی به کمک گذرواژه بر روی واسط کاربری مودم تنظیم نکرده است، بنابریان هر مهاجمی محلی می‌تواند به واسط وب مدیریتی به آدرس ۱۹۲.۱۶۸.۱۰۰.۱ و بدون نیاز به وارد کردن نام کاربری و گذرواژه وارد شود.
این اشکال به نفوذگر اجازه می‌دهد از صفحه تنظیمات مودم گزینه «بازنشانی مودم کابلی» را از این واسط مدیریتی انتخاب کند. این اتفاق چیزی نیست جز یک حمله انکار سرویس و به این ترتیب کاربر واقعی از دسترسی به مودم باز می‌ماند.
با کلیک کردن بر روی این گزینه، مودم برای ۲ تا ۳ دقیقه غیرفعال می‌شود و تمامی دستگاه‌هایی که بر روی این شبکه باشند ارتباط خود را با اینترنت از دست می‌دهند.
اگرچه شاید قطعی ارتباط ایترنت برای مدت ۲ تا ۳ دقیقه قابل تحمل باشد، اما در همان صفحه مدیریتی گزینه بازنشانی به حالت کارخانه نیز وجود دارد که تمامی تنظیمات انجام شده بر روی مودم را پاک می‌کند.
اگر یک مهاجم بر روی این گزینه کلیک کند، مودم برای مدت ۳۰ دقیقه از دسترس دور خواهد بود چرا که تنظیم مجدد این مدت زمان خواهد برد. برخی مواقع نیز نیاز است تا با ارائه‌دهنده سرویس اینترنت تماس گرفته‌ شود تا مودم را فعال کنند.

چگونه حمله انکار سرویس انجام می‌شود؟
آقای لانگنکر فاش کرد که یک مهاجم می‌تواند مودم را از راه دور بازنشانی کند، چرا که برنامه بررسی نمی‌کند که این دستور بازنشانی و یا راه‌اندازی مجدد از واسط کاربری آمده‌است و یا از منبع خارجی.
این حمله از راه دور تحت عنوان حمله جعل درخواست کراس‌سایت (CSRF) شناخته می شود که در آن به مهاجم اجازه داده‌می‌شود از روش‌های مهندسی اجتماعی برای فریب دادن کاربران استفاده کند تا آن ها بر روی صفحات وب و یا رایانامه‌های جعلی و مخرب کلیک کنند.
برای مثال، صفحه وبی که برچسب <“img src=http://malicious_url/”> را دارد، یعنی منبع تصویر موجود در آن، آدرس یک وب‌گاه مخرب است، می‌تواند هر یک از موارد زیر را فراخوانی کند:

http://۱۹۲.۱۶۸.۱۰۰.۱/reset.htm (مودم را بازنشانی می‌کند)
http://۱۹۲.۱۶۸.۱۰۰.۱/ cmConfigData.htm?BUTTON_INPUT۱ (که مودم را به حالت تنظیمات کارخانه بازمی‌گرداند)

لانگنکر می‌گوید : «آیا می‌دانید که برای مرورگر اهمیتی ندارد که یک پرونده تصویر واقعاً یک تصویر باشد؟ بدین ترتیب راه‌اندازی مجدد یک مودم به سادگی قرار دادن یک تصویر مخرب در صفحه‌ای است که احتمالاً کاربر به ان سر می‌زند. در این صورت اگرچه تصویر مذکور واقعی نیست اما مرورگر تا زمانی که پرونده تصویر را ار آدرس آی‌پی داده شده درخواست می‌کند این موضوع را نمی‌داند؛ که البته موجب راه‌اندازی مجدد مودم می شود.

آیا وصله‌کردن این آسیب‌پذیری کار ساده‌ای است؟
اینگونه اشکالات را می‌توان به سادگی وصله کرد، کافی است شرکت آریس به‌روز‌رسانی سفت‌افزاری را انجام دهد که:
– واسط کاربری پیش از آن‌که به کسی اجازه راه‌اندازی مجدد مودم را دهد تصدیق احراز (نام کاربری و گذرواژه) لازم داشته‌ باشد.
– واسط کاربری تایید کند که درخواست واصله از برنامه مورد اعتماد آمده‌ است و نه یک منبع خارجی.
البته خبر بد این است که کاربران نمی‌توانند مودم‌های کابلی را به‌روز‌رسانی کنند. بنابراین حتی اگر این شرکت نیز اقدام به ارائه به‌روز‌رسانی کند، کاربر باید منتظر باشد تا ارائه‌دهنده سرویسش وصله مورد نظر را اعمال کرده و آسیب‌پذیری را برطرف کند.
شرکت آریس نیز گفته‌ است در حال کار برای ارائه این به‌روز‌رسانی است. این شرکت هم‌چنین گفته‌ است خطری برای داده های کابران وجود ندارد و هنوز موردی از سوءاستفاده از آسیب‌پذیری گزارش نشده‌ است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.