جدیدترین خبرهای دنیای امنیت اطلاعات تجربه تازه ای را در رابطه با فایروال میکروتیک رمزگشایی می کند و تیتر این خبر بدین شکل است: سوتی آپای دانشگاه بوعلی سینای همدان، وقتی از امنیت، فقط صحبت از تکنیک است! کارشناسان امنیت شبکه در داخل ایران معتقدند که تجزیه تحلیل و انتشار  آسیب پذیری میکروتیک توسط مرکز آپای دانشگاه بوعلی، در حمله به سایت زرین پال مورد استفاده قرار گرفته است!

آیا واقعا تجزیه و تحلیل آسیب پذیری دستگاه میکروتیک، در حمله به سایت زرین پال مورد استفاده قرار گرفته است!

به نظر می رسد آسیب پذیری مورد استفاده در حمله به سایت زرین پال، با شماره بین المللی CVE-2018-14847 می باشد، این آسیب پذیری امکان خواندن فایل از راه دور بر روی درگاه سرویس Winbox را امکان پذیر می کند.

 در آواخر ماه آپریل اعضا مرکز آپای دانشگاه بوعلی سینا همدان که متوجه تغییر آخرین نسخه Winbox شده بودند دست به مهندسی معکوس برای کشف نکات فنی این آسیب پذیری میزنند و نتایج تحقیقات خود را تحت عنوان خروجی فعالیت مرکز آپا دانشگاه بوعلی منتشر می سازند.  این اطلاعات از طریق سایت شخصی، توییتر و گیت هاب قابل دسترس بوده است. با وجود پروژه های بزرگ مانند Metasploit و full-disclosure جای سوال دارد که چرا یک  مرکز فنی دست به انتشار کد استفاده از آسیب پذیری به صورت عمومی زده است و امنیت هزاران سیستم را مورد تهديد قرار داده است.
برای اطلاعات بيشتر می توانید به سایت توسعه دهندگان کد استفاده از آسیب پذیری مراجعه نمایید .
https://n0p.me/winbox-bug-dissection
https://github.com/BigNerd95/WinboxExploit
https://twitter.com/BASUCERT
https://twitter.com/yalpanian

 همچنین این کد توسط شخصی دیگر حدود 10 روز پیش باز نشر داده شده است که از فعالیت های او به نظر می رسد به امنیت درگاه پرداخت زرین پال علاقه داشته است!  
https://github.com/mrmtwoj

آیا اطلاعات کاربران در لحظه هک شدن سایت زرین پال لو رفته است؟

در روزهای گذشته در فضای مجازی و خبرگزاریهای آی تی کشور، هک شدن سایت زرین پال به شدت خبر ساز شد. روتر‌ Edge یا همان لبه این شرکت از برند فایروال میکروتیک بوده و در تاریخ ۱۲ مرداد ۹۷ حدود ساعت ۲۰:۰۸ مورد حمله قرار گرفته است.

این نفوذ با استفاده از باگ امنیتی Dissection of Winbox critical vulnerability که مدتی قبل نیز توسط مرکز ماهر گزارش شده بود، باعث هک شدن سایت زرین پال شد. در این اقدام، از طریق تکنیک IP Spoofing، ترافیک به خارج از ایران منتقل شده و صفحه‌ Deface بجای سایت زرین‌ پال بارگذاری شده است. در ادامه سایت جعلی که شامل خبر بوده بجای سایت اصلی زرین‌پال نمایش داده شده است.

آنگونه که گزارش شده و با توجه به نوع زیرساخت طراحی شده توسط زرین‌ پال، نفوذ‌کننده امکان دسترسی به داده‌های مشتریان را نداشته است. با توجه به نوع نفوذ و تجهیزات درگیر، حتی امکان حمله Man In the Middle هم برای نفوذکننده وجود نداشته است. تصاویری هم در این مورد منتشر شده که خود نشان دهنده صحت این موضوع است. سایت Deface بارگذاری شده فاقد SSL بوده و شخص نفوذ کننده تنها قادر به انتقال ترافیک به سمت سرور خود بوده است و هیچ‌گونه نفوذی به زیرساخت زرین‌پال صورت نگرفته است.

وظیفه روتر میکروتیکی که مورد حمله قرار گرفته، برقراری Uplink و BGP با دیتاسنتر بوده است و هیچ نوع وظیفه‌ای اعم از برقراری Routing و Vlaning برای لایه‌های پایین‌تر نداشته است. این روتر تنها ۲ پورت فعال داشته که وظیفه برقراری با Uplink بالادستی و فایروال پایین‌دست موسوم به Access را برعهده داشته است. با توجه به اینکه SSL Termination در لایه‌های پایین‌تر انجام می‌شود، کلیه ترافیک عبوری از این روتر به صورت Encrypted  بوده و از این لایه دیتای خامی عبور نکرده است.

کنترل دسترسی به سرور‌های دیتابیس در ۲ لایه پایین‌تر از روتر Edge صورت پذیرفته و تنها سرور‌های واقع در یک Vlan  اجازه دسترسی به دیتابیس‌ها را دارند و ادعای دسترسی به دیتابیس با توجه به زیرساخت و نوع تجهیزات درگیر در نفوذ، فاقد اعتبار بوده و به هیچ عنوان امکان‌پذیر و عملی نبوده است. بنابراین DBMS‌ ها علاوه‌بر کنترل ACL خود، دارای نام کاربری و رمز عبور می‌باشند و جهت دسترسی به آن باید از رمز عبور و شیوه احراز هویت آن مطلع بود.