لينكسيس: نقاط ضعف في أجهزة التوجيه تسمح بهجمات DDos

282

حددت شركة لينكسيس Linksys هذا الأسبوع العديد من نقاط الضعف الموجودة في البرامجيات الثابتة الخاصة بأجهزة توجيه الشبكات التابعة لها (راوتر)، وتسمح نقاط الضعف تلك للقراصنة بتجاوز إجراءات المصادقة والتعريف ضمن إعدادات تكوين الجهاز وتنفيذ تعليمات عن بعد تؤدي إلى هجمات الحرمان من الخدمة DDos.

وقالت الشركة انها تعمل على إصلاح نقاط الضعف تلك، والتي جرى اكتشافها من قبل الباحثين في مجال الامن في شركة الأبحاث الأمنية السيبرانية IOActive في شهر يناير/كانون الثاني الماضي، وتؤثر هذه النقاط على أكثر من اثنا عشر نموذج من أجهزة توجيه لينكسيس اللاسلكية ضمن سلسة منتجات WRT وEAxxx.

وقد وجدت شركة IOActive عشر مشكلات منفصلة في البرامج الثابتة لاجهزة التوجيه بما في ذلك نقاط العضف عالية الخطر التي يمكن أن تسمح للقراصنة باستغلال أجهزة التوجيه باستعمال بيانات الاعتماد والمصادقة الافتراضية لتسجيل الدخول وعرض إعدادات جهاز التوجيه وتنفيذ الأوامر البرمجية عن بعد.

وكتب احد الباحثين الأمنيين في شركة IOActive تدوينة أشار فيها إلى أن “هناك اثنتين من القضايا الأمنية التي حددناها تسمح للمهاجمين غير المصرح لهم بخلق شروط هجوم الحرمان من الخدمة DDos على جهاز التوجيه عن طريق إرسال عدد قليل من الطلبات أو إساءة استعمال دوال برمجية محددة بحيث يصبح جهاز التوجيه غير قادر على الاستجابة وغير قادر على إعادة التشغيل ويتعذر على مدير الجهاز الوصول إلى واجهة مشرف الويب كما يصبح المستخدمين غير قادرين على الاتصال حتى ايقاف المهاجم لهجوم الحرمان من الخدمة”.

وتتشابه نقاط الضعف هذه مع نقاط الضعف الموجودة في العديد من أجهزة إنترنت الأشياء IoT، وتعد مثيرة للقلق لأنه يمكن استعمالها في الهجمات المستقبلية من هذا النوع الذي تسبب بشلل واسع التاثير على خدمة الإنترنت لعدة ساعات في الخريف الماضي.

وأضافت شركة الأمن السيبراني “إن 11 في المئة من الأجهزة النشيطة التي تم كشفها كانت تستعمل إعدادات المصادقة الافتراضية مما يجعل الوصول إليها سهلاً على المهاجمين الذين يحصلون على المصادقة بسهولة ويعملون على تحويل أجهزة التوجيه هذه إلى روبوتات إلكترونية Bots بشكل يماثل ما حصل أثناء هجمات حجب الخدمة Mirai التي حدثت العام الماضي”.

ونشرت لينكسيس قائمة كاملة لنماذج أجهزة التوجيه المتأثرة واقترحت أن يقوم المالك بتغيير كلمة المرور الافتراضية لحساب المشرف، وأضافت انها تعمل على توفير تحديثاث للبرامجات الثابتة لجميع النماذج المتضررة، دون توفير تفاصيل محددة عن موعد طرح تلك التحديثات.