نفوذ بات نت Mirai به روترهای SSR شرکت جونیپر

شرکت Juniper Networks اخیرا هشداری در رابطه با احیای مجدد بات نت Mirai صادر کرده است. این بات نت در حال حاضر روترهای SSR (یا Session Smart Router) شرکت جونیپر را که دارای رمز عبور پیش فرض هستند مورد هدف قرار می‌دهد.

SSR یک راهکار نوآورانه در زمینه شبکه می‌باشد که توسط Juniper Networks توسعه داده شده است. SSR به عنوان یک روتر هوشمند برای مدیریت ترافیک شبکه و ارتباطات بین کاربران و برنامه‌ها در معماری‌های SD-WAN (شبکه‌های تعریف ‌شده توسط نرم‌افزار) عمل می‌کند.

این حملات اولین بار در 11 دسامبر ۲۰۲۴، زمانی که نخستین روترهای آلوده و فعالیت‌های مشکوک در شبکه‌ مشتریان جونیپر مشاهده شدند، گزارش گشتند.

بات ‌نت Mirai به‌طور خاص اینترنت را برای یافتن دستگاه‌های SSR  دارای رمز عبور پیش فرض اسکن می‌کند. دستگاه‌های هک شده می‌توانند برای فعالیت‌های مخرب مختلف مانند حملات انکار سرویس توزیع شده  (DDoS)علیه سایر سیستم‌های شبکه مورد استفاده قرار گیرند.

Mirai غالبا دستگاه‌های لایه 4 را در پورت‌های 23، 2323، 80 و 8080 اسکن می‌کند. مشاهده ترافیک‌های غیر معمول، تلاش‌های مکرر برای لاگین به سرویس SSH، حملات بروت فورس و رفتار نامنظم یا راه اندازی مجدد غیرمنتظره دستگاه همگی نشانه‌های احتمالی نفوذ بات نت MIRAI می‌باشند.

جونیپر به منظور کاهش خطرات مرتبط با این تهدید، به کاربران توصیه می‌کند:

• تغییر گذرواژه‌های پیش‌فرض: گذرواژه‌های پیش فرض دستگاه‌های SSR می‌بایست با پسوردهای قوی و منحصربه‌فرد جایگزین شوند.
• نظارت بر فعالیت شبکه: لاگ‌های دسترسی باید به طور منظم برای یافتن هر گونه ناهنجاری در شبکه بررسی شوند و هشدارها به گونه‌ای تنظیم گردند که به‌طور خودکار هنگام شناسایی فعالیت‌های مشکوک نوتیف صادر کنند.
• استفاده از مکانیزم‌های امنیتی: سیستم‌های تشخیص نفوذ بایستی برای نظارت بر فعالیت‌های شبکه مستقر شوند و از فایروال‌ها برای جلوگیری از دسترسی غیرمجاز به دستگاه‌های متصل به اینترنت استفاده گردد.
• به روزرسانی فریمور: روترها می‌بایست بصورت منظم به آخرین نسخه نرم افزار به روزرسانی شوند.

روترهای آلوده به بات نت می‌بایست پیش از آنکه مجددا به اینترنت متصل شوند، ریست شده یا فریمور جدید روی آنها نصب گردد (یعنی روتر به حالت اولیه باز گردد یا نسخه جدید نصب شود) و تنها راه متوقف ساختن این تهدید، همین است.

نقص امنیتی DigiEver برای توزیع بات نت Mirai مورد سوء استفاده قرار گرفت

Akamai در گزارش جدیدی که نوزدهم دسامبر 2024 منتشر کرد، اذعان داشت که یک آسیب ‌پذیری اجرای کد از راه دور در DVRهای DigiEver DS-2105 Pro (بدون CVE) توسط هکرها برای گسترش نوعی از بات ‌نت Mirai با نام «Hail Cock» مورد سوء استفاده قرار می‌گیرد.

آسیب ‌پذیری مورد بحث به ‌عنوان یک فایل دلخواه post-auth (پس از احراز هویت) توصیف شده است که در ترکیب با دستگاه‌های DVR دارای رمز عبور ضعیف یا پیش فرض مورد سوء استفاده قرار گرفته است. بدافزار نصب شده روی دستگاه‌ها متعاقباً پورت‌های مربوط به پروتکل‌های Telnet و SSH را بروت فورس می‌کند تا اندازه بات ‌نت را افزایش دهد.

این کمپین علاوه بر اکسپلویت DigiEver ، آسیب پذیری‌های شناخته شده دیگری را نیز هدف قرار می‌دهد:

• CVE-2023-1389 (امتیاز CVSS: 8.8)، یک آسیب ‌پذیری تزریق فرمان (command injection) که روترهای TP-Link  را تحت تأثیر قرار می‌دهد.
• CVE-2018-17532 (امتیاز CVSS: 9.8)، چندین آسیب پذیری تزریق فرمان سیستم عامل احراز هویت نشده در روترهای Teltonika RUT9XX.

فعالیت مجدد بات ‌نت Mirai بر تهدید مداوم ناشی از شیوه‌های امنیتی ضعیف در دستگاه‌های IoT تاکید می‌کند و اهمیت اقدامات پیشگیرانه امنیت سایبری را برجسته می‌کند.

منابع