قام الباحث الأمني المعروف Kafeine بتسليط الضوء على حملة هجومية نشطة تهدف لاختراق الموجهات SOHO routers ومن ثم تغيير إعدادات الـ DNS الخاصة بها، ويترتب على ذلك قيام المهاجم بعمل إعادة توجيه المستخدم بسهولة لمواقع تصيد أو مواقع ملغمة، بالإضافة إلى إمكانية اعتراض البيانات الخاصة بالمستخدم، والمزيد من الأشياء الأخرى.

dbc5c333-43c2-4a26-b61c-31133fabfc57

ويبدو أن هذه الحملة تستهدف فقط مستخدمين متصفح Google Chrome وتتجاهل الآخرون. مستخدمين متصفح الكروم الذين يقومون بزيارة مواقع خطيرة على شبكة الانترنت يتم عمل إعادة توجيه لهم إلى مواقع يوجد بها كود بـ cross-site request forgery (CSRF) هذه الكود وظيفته القيام بتحديد نوع وموديل الراوتر الخاص بالمستخدم (الضحية).

وبالاعتماد على هذه المعلومات فإن استغلال واحدة من هذه الثغرات CVE-2015-1187، أو CVE-2008-1244، أو CVE-2013-2645 – يؤدي إلى الدخول إلى واجهة تحكم المدير.

العديد من الموجهات لا يمكن الدخول إلى واجهة تحكم المدير الخاصة بها عن طريقة الانترنت (remote management has been disabled)، بل يتم الدخول إليها فقط من الشبكة المحلية عن طريق المتصفح.

هذه الحملة قادرة على استهداف واختراق أكثر من 55 موديل من الموجهات المباعة من قبل Asus, Belkin, D-Link, Linksys, Netgear, Zyxel بالإضافة إلى العديد من الموجهات الأخرى.

إعدادات الـ DNS الخاصة بالموجهات يتم تغييرها لتشير إلى خوادم خاضعة لسيطرة أو يتم التحكم فيها من قبل المهاجم، ومن ثم يتم توجيه المستخدم إلى صفحات خبيثة أو مزيفة أو ملغمة… الخ.

تم اصدار التحديث الخاص بعلاج الثغرات ولكن بعض المستخدمين لا زالوا عرضة للاختراق وذلك بسبب عدم معرفتهم لكيفية تحديث الـ firmware الخاص بموجهاتهم.