جدیدترین خبرهای دنیای امنیت اطلاعات تجربه تازه ای را در رابطه با فایروال میکروتیک رمزگشایی می کند و تیتر این خبر بدین شکل است: سوتی آپای دانشگاه بوعلی سینای همدان، وقتی از امنیت، فقط صحبت از تکنیک است! کارشناسان امنیت شبکه در داخل ایران معتقدند که تجزیه تحلیل و انتشار آسیب پذیری میکروتیک توسط مرکز آپای دانشگاه بوعلی، در حمله به سایت زرین پال مورد استفاده قرار گرفته است!
آیا واقعا تجزیه و تحلیل آسیب پذیری دستگاه میکروتیک، در حمله به سایت زرین پال مورد استفاده قرار گرفته است!
به نظر می رسد آسیب پذیری مورد استفاده در حمله به سایت زرین پال، با شماره بین المللی CVE-2018-14847 می باشد، این آسیب پذیری امکان خواندن فایل از راه دور بر روی درگاه سرویس Winbox را امکان پذیر می کند.
در آواخر ماه آپریل اعضا مرکز آپای دانشگاه بوعلی سینا همدان که متوجه تغییر آخرین نسخه Winbox شده بودند دست به مهندسی معکوس برای کشف نکات فنی این آسیب پذیری میزنند و نتایج تحقیقات خود را تحت عنوان خروجی فعالیت مرکز آپا دانشگاه بوعلی منتشر می سازند. این اطلاعات از طریق سایت شخصی، توییتر و گیت هاب قابل دسترس بوده است. با وجود پروژه های بزرگ مانند Metasploit و full-disclosure جای سوال دارد که چرا یک مرکز فنی دست به انتشار کد استفاده از آسیب پذیری به صورت عمومی زده است و امنیت هزاران سیستم را مورد تهديد قرار داده است.
برای اطلاعات بيشتر می توانید به سایت توسعه دهندگان کد استفاده از آسیب پذیری مراجعه نمایید .
https://n0p.me/winbox-bug-dissection
https://github.com/BigNerd95/WinboxExploit
https://twitter.com/BASUCERT
https://twitter.com/yalpanian
همچنین این کد توسط شخصی دیگر حدود 10 روز پیش باز نشر داده شده است که از فعالیت های او به نظر می رسد به امنیت درگاه پرداخت زرین پال علاقه داشته است!
https://github.com/mrmtwoj
آیا اطلاعات کاربران در لحظه هک شدن سایت زرین پال لو رفته است؟
در روزهای گذشته در فضای مجازی و خبرگزاریهای آی تی کشور، هک شدن سایت زرین پال به شدت خبر ساز شد. روتر Edge یا همان لبه این شرکت از برند فایروال میکروتیک بوده و در تاریخ ۱۲ مرداد ۹۷ حدود ساعت ۲۰:۰۸ مورد حمله قرار گرفته است.
این نفوذ با استفاده از باگ امنیتی Dissection of Winbox critical vulnerability که مدتی قبل نیز توسط مرکز ماهر گزارش شده بود، باعث هک شدن سایت زرین پال شد. در این اقدام، از طریق تکنیک IP Spoofing، ترافیک به خارج از ایران منتقل شده و صفحه Deface بجای سایت زرین پال بارگذاری شده است. در ادامه سایت جعلی که شامل خبر بوده بجای سایت اصلی زرینپال نمایش داده شده است.
آنگونه که گزارش شده و با توجه به نوع زیرساخت طراحی شده توسط زرین پال، نفوذکننده امکان دسترسی به دادههای مشتریان را نداشته است. با توجه به نوع نفوذ و تجهیزات درگیر، حتی امکان حمله Man In the Middle هم برای نفوذکننده وجود نداشته است. تصاویری هم در این مورد منتشر شده که خود نشان دهنده صحت این موضوع است. سایت Deface بارگذاری شده فاقد SSL بوده و شخص نفوذ کننده تنها قادر به انتقال ترافیک به سمت سرور خود بوده است و هیچگونه نفوذی به زیرساخت زرینپال صورت نگرفته است.
وظیفه روتر میکروتیکی که مورد حمله قرار گرفته، برقراری Uplink و BGP با دیتاسنتر بوده است و هیچ نوع وظیفهای اعم از برقراری Routing و Vlaning برای لایههای پایینتر نداشته است. این روتر تنها ۲ پورت فعال داشته که وظیفه برقراری با Uplink بالادستی و فایروال پاییندست موسوم به Access را برعهده داشته است. با توجه به اینکه SSL Termination در لایههای پایینتر انجام میشود، کلیه ترافیک عبوری از این روتر به صورت Encrypted بوده و از این لایه دیتای خامی عبور نکرده است.
کنترل دسترسی به سرورهای دیتابیس در ۲ لایه پایینتر از روتر Edge صورت پذیرفته و تنها سرورهای واقع در یک Vlan اجازه دسترسی به دیتابیسها را دارند و ادعای دسترسی به دیتابیس با توجه به زیرساخت و نوع تجهیزات درگیر در نفوذ، فاقد اعتبار بوده و به هیچ عنوان امکانپذیر و عملی نبوده است. بنابراین DBMS ها علاوهبر کنترل ACL خود، دارای نام کاربری و رمز عبور میباشند و جهت دسترسی به آن باید از رمز عبور و شیوه احراز هویت آن مطلع بود.