أخبار أمنية منوعةأخبار الثغرات والفايروسات

حملة هجومية واسعة النطاق تقوم بتغيير الـ DNS Server للعديد من الموجهات Routers

تم أرشفة هذا المحتوى


قام الباحث الأمني المعروف Kafeine بتسليط الضوء على حملة هجومية نشطة تهدف لاختراق الموجهات SOHO routers ومن ثم تغيير إعدادات الـ DNS الخاصة بها، ويترتب على ذلك قيام المهاجم بعمل إعادة توجيه المستخدم بسهولة لمواقع تصيد أو مواقع ملغمة، بالإضافة إلى إمكانية اعتراض البيانات الخاصة بالمستخدم، والمزيد من الأشياء الأخرى.

dbc5c333-43c2-4a26-b61c-31133fabfc57

ويبدو أن هذه الحملة تستهدف فقط مستخدمين متصفح Google Chrome وتتجاهل الآخرون. مستخدمين متصفح الكروم الذين يقومون بزيارة مواقع خطيرة على شبكة الانترنت يتم عمل إعادة توجيه لهم إلى مواقع يوجد بها كود بـ cross-site request forgery (CSRF) هذه الكود وظيفته القيام بتحديد نوع وموديل الراوتر الخاص بالمستخدم (الضحية).

وبالاعتماد على هذه المعلومات فإن استغلال واحدة من هذه الثغرات CVE-2015-1187، أو CVE-2008-1244، أو CVE-2013-2645 – يؤدي إلى الدخول إلى واجهة تحكم المدير.

العديد من الموجهات لا يمكن الدخول إلى واجهة تحكم المدير الخاصة بها عن طريقة الانترنت (remote management has been disabled)، بل يتم الدخول إليها فقط من الشبكة المحلية عن طريق المتصفح.

هذه الحملة قادرة على استهداف واختراق أكثر من 55 موديل من الموجهات المباعة من قبل Asus, Belkin, D-Link, Linksys, Netgear, Zyxel بالإضافة إلى العديد من الموجهات الأخرى.

إعدادات الـ DNS الخاصة بالموجهات يتم تغييرها لتشير إلى خوادم خاضعة لسيطرة أو يتم التحكم فيها من قبل المهاجم، ومن ثم يتم توجيه المستخدم إلى صفحات خبيثة أو مزيفة أو ملغمة… الخ.

تم اصدار التحديث الخاص بعلاج الثغرات ولكن بعض المستخدمين لا زالوا عرضة للاختراق وذلك بسبب عدم معرفتهم لكيفية تحديث الـ firmware الخاص بموجهاتهم.

عصام صابر

عصام صابر من مصر، محرر أخبار في مجتمع iSecur1ty , مهتم بالبرمجة بلغة PHP وكل ما هو جديد بمجال أمن المعلومات والهاكر الأخلاقي.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى