info[at]nsec.ir
(+98)-31-33915336

مودم‌های D-Link وصله‌نشده در معرض حملات DNS Hijacking

خلاصه: محققان انواع مختلفی از حملات را کشف کرده‌اند که روترها و مودم‌های خانگی را هدف قرار می‌دهند. در این حملات تنظیمات DNS دستگاه‌های مورد هدف واقع شده برای اشاره کردن به یک سرور DNS دیگر، تغییر داده می‌شوند. بنابراین ضروریست که مودم‌های خانگی، همواره با آخرین وصله‌های امنیتی، به‌روزرسانی شوند.

 

به‌گفته‌ی محققان امنیتی، هکرها به روترهای خانگی برای تغییر تنظیمات سرور DNS و سرقت ترافیک برای هدایت آن به سایت‌های مخرب، نفوذ کرده‌اند.

رکوردهای DNS همانند یک دفترچه تلفن کار می‌کنند و URLهایی مانند google.com را به شماره‌هایی تبدیل می‌کنند که توسط اینترنت قابل فهم هستند. مشکل زمانی اتفاق می‌افتد که شخصی موفق شود آن‌ها را تغییر دهد. این حمله با عنوان DNS hijacking شناخته می‌شود و می‌تواند توسط مجرمان سایبری برای هدایت ترافیک به یک وب‌سایت مخرب استفاده شود.

براساس پست وبلاگ یکی از محققان امنیتی، اولین مدارک این حملات در 29 دسامبر 2018 دیده شدند،که در آن مدل‌های مختلف مودم‌های D-Link DSL مورد هدف قرار گرفتند. این مدل‌ها شامل D-Link DSL-2640B، D-Link DSL-2740R، D-Link DSL-2708B و روترهای D-Link DSL-526B بوده‌اند.

در این حملات، تنظیمات DNS دستگاه‌های مورد هدف واقع شده برای اشاره کردن به یک سرور DNS دیگر بر روی یک آدرس IP میزبانی‌شده توسط OVH کانادا، تغییر داده شده بودند.

در ماه گذشته، آخرین موج از حملات به وقوع پیوست، و محدوده‌ی روترهایی که مورد هدف قرار داده شدند را گسترش داد، که شامل مدل‌های ARG-W4، SSLink 260E، Secutech و TOTOLINK می‌شد.

محققان انواع مختلفی از حملات را که مسیریاب‌ها را هدف قرار می‌دهند را شناسایی کرده‌اند و سه موج مختلف از یافته‌هایشان را که در دسامبر 2018 آغاز شده‌اند را با جزئیات توضیح داده‌اند. حملات از سه میزبان پلتفرم ابری گوگل و انواع دیگری از روترهای مورد هدف قرار داده شده که قبلا دیده نشده بودند، ناشی می‌شدند.

تعیین محدوده و مقیاس این حملات تقریبا غیرممکن است، مگر اینکه محققان از تاکتیک‌هایی که توسط عاملان مخرب استفاده می‌شود، استفاده کنند.

با توجه به افزایش روزافزون دورکاری، برای عوامل مخرب خیلی سخت نیست که از طریق شبکه‌های خانگی به شرکت‌هایی دسترسی پیدا کنند که معمولا خیلی امن نیستند و یا تمهیدات امنیتی کمتری را به کار برده‌اند. با تغییر تنظیمات سرور DNS در روتر خانگی، کاربران بدون این که بدانند به سایت‌هایی وصل می‌شوند که بدافزارها را بر روی سیستم‌هایشان دانلود خواهد کرد.

ضروریست که مودم‌های خانگی، همواره با آخرین وصله‌های امنیتی، به‌روزرسانی شوند. بسیاری از مودم‌ها هنوز نسخه‌های قدیمی سیستم‌عاملشان را اجرا می‌کنند که ممکن است حاوی آسیب‌پذیری‌هایی باشد که به مهاجم امکان مداخله کردن و تغییر دادن در تنظیمات را می‌دهد.