MikroTik Routers များ Hijacked ပြုလုပ်ခံရခြင်းနှင့် ပတ်သက်၍ သတိပေးကြေညာချက်

MikroTik Routers များ Hijacked ပြုလုပ်ခံရခြင်းနှင့် ပတ်သက်၍ သတိပေးကြေညာချက်
.
Qihoo 360 Netlab ကုမ္ပဏီရှိ ဆိုက်ဘာလုံခြုံရေးဆိုင်ရာ သုတေသီများမှ (၇၅၀၀) ကျော်သော MikroTik routers များသည် Socks4 proxy ကို အသုံးပြုကာ တိုက်ခိုက်ခံထားရကြောင်း တွေ့ရှိခဲ့ကြပါသည်။ ကျွမ်းကျင်သူများက အလွန်ကြီးမားသော cryptojacking (ခွင့်ပြုချက်မရဘဲ အခြားကွန်ပျူတာအတွင်း တွက်ချက်မှုများပြုလုပ်ခြင်းဖြင့် ငွေရှာခြင်း) လှုံ့ဆော်မှုတစ်ခုမှစတင်ကာ MikroTik routers များကို ပစ်မှတ်ထားတိုက်ခိုက်ခဲ့ပြီး အင်တာနက်ဒေတာသွားလာမှုအတွင်းသို့ Coinhive (Cryptojacking အဖျက်အမှောင့်ဆော့ဖ်ဝဲလ်) script များကို ထည့်သွင်းနေကြောင်း ထုတ်ဖော်ပြောကြားခဲ့ပါသည်။ ၎င်း လှုံ့ဆော်မှုကို ဘရာဇီးမှစတင်ခဲ့ကာ router ပေါင်း နှစ်သိန်းကျော်အား တိုက်ခိုက်ခြင်းခံခဲ့ရပြီး ရုရှား၊ အီရန်၊ ဘရာဇီး၊ အိန္ဒိယ၊ ယူကရိန်း၊ ဘင်္ဂလားဒေ့ရှ်၊ အင်ဒိုနီးရှား၊ အီကွေဒေါ၊ အမေရိကန်၊ အာဂျင်တီးနား၊ ကိုလံဘီယာ၊ ပိုလန်၊ ကင်ညာ၊ အီရတ်နှင့် အချို့သော ဥရောပနှင့် အာရှနိုင်ငံများတွင်လည်း တိုက်ခိုက်ခြင်း ခံနေရပါသည်။ 
.
ဟက်ကာများမှ Routers များ၏ ဒေတာစီးဆင်းမှုကို မည်ကဲ့သို့ Hijack ပြုလုပ်သနည်း။
.
Qihoo 360 Netlab ရှိ သုတေသီများမှ 7500 ကျော်သော MikroTik routers များသည် တိုက်ခိုက်ခံရသူအသုံးပြုသည့်ကိရိယာ၏ ဒေတာသွားလာမှုကို hijack ပြုလုပ်စေနိုင်သည့် Socks4 Proxy ကို ဖွင့်၍ တိုက်ခိုက်ခဲ့ကြောင်း တွေ့ရှိခဲ့ကြပါသည်။
.
ဟက်ကာများသည် Router OS အား စကားဝှက်မသိဘဲ ဝင်ရောက်နိုင်ပြီး မည်သည့် directory မှ ဖိုင်ကိုမဆို ဖတ်နိုင်သည့် (CVE-2018-14847) ကို အသုံးချကာ ၂၀၁၈ ခုနှစ်၊ ဇူလိုင်လ အလယ်ကတည်းက တိုက်ခိုက်မှုများ လုပ်ဆောင်နေခြင်းဖြစ်ပါသည်။ CVE-2018-14847 နှင့်ပတ်သက်၍ အောက်ပါ link တွင် အသေးစိတ် ကြည့်ရှုနိုင်ပါသည်။
https://nvd.nist.gov/vuln/detail/CVE-2018-14847
.
၎င်းအားနည်းချက်ကို ၂၀၁၇ ခုနှစ်တွင် ဖွင့်ချဖော်ထုတ်ခြင်းခံခဲ့ရသော CIA ၏ Vault7 Hacking Tool မှရရှိသော exploit ကို Tool အနေဖြင့် ရေးသားထားသော ChimayRed Exploit ဖြင့် တိုက်ခိုက်ခြင်းဖြစ်ပြီး MikroTik ၏ Webfig ကို အဝေးမှကုဒ်သွင်းတိုက်ခိုက်နိုင်သော အခြားသောအားနည်းချက်ကိုလည်း တွေ့ရှိခဲ့ရပါသည်။ (WinBox နှင့် Webfig တို့သည် Router OS များကို စီမံပြုပြင်နိုင်သော ဆော့ဖ်ဝဲလ်များဖြစ်ကြပြီး ၎င်းတို့သည် TCP port 8291၊ TCP port 80 နှင့် TCP port 8080 ports များဖြင့် ဆက်သွယ်ဆောင်ရွက်ပါသည်။)
.
Routers အလုံးရေ မည်မျှ ကူးစက်ခံနေရသနည်း။
.
Qihoo 360 Netlab ကုမ္ပဏီရှိ သုတေသီများက ကိရိယာပေါင်း (၅)သန်း ကျော်ကို စစ်ဆေးမှုပြုလုပ်ခဲ့ရာတွင် (၁.၂)သန်းမှာ MikroTik routers များဖြစ်ပြီး ၎င်းတို့ထဲမှ ၃၀% ကျော်သော ကိရိယာများသည် အထက်ဖော်ပြပါ အားနည်းချက်များရှိနေခြင်းဖြစ်သည်။ (၁.၂)သန်းသော router များထဲမှ (၃.၇)သိန်းသော routers များသည် ဖော်ပြပါ exploit ၌အားနည်းချက်ရှိနေပြီး ၎င်းတို့၏ firmware များကို ယခုထိ အဆင့်မြှင့်တင်ခြင်း မပြုလုပ်ရသေးပဲရှိနေကာ အားနည်းချက်ရှိနေသည့် routers အများစုမှာ ဘရာဇီးနှင့် ရုရှားတို့တွင် တည်ရှိနေခြင်းဖြစ်သည်။ အထက်ဖော်ပြပါ အားနည်းချက်သည် တိုက်ခိုက်သူများမှ ဒေတာများကို ကြားဖြတ်ဖမ်းယူနိုင်ခြင်း၊ ဒေတာစီးဆင်းမှုကို hijack ပြုလုပ်ခြင်းနှင့် အဖျက်အမှောင့် scripts (သို့မဟုတ်) CoinHive ကဲ့သို့သော coin miner များ ထည့်သွင်းနိုင်ခြင်းကိုဖြစ်စေသည်။
.
အကြံပြုချက်
.
ပြည်တွင်းရှိ MirkroTik Router အသုံးပြုနေသူများအနေဖြင့် မိမိတို့၏ Mikrotik Router များသည် OS Version 6.29 (သို့မဟုတ်) 6.42 များ အသုံးပြုထားပါက Router OS များကို နောက်ဆုံးအခြေအနေအထိ အဆင့်မြှင့်တင်ရန် လိုအပ်နေပြီး HTTP Proxy, Sock4 Proxy နှင့် Network Traffic Capture လုပ်ဆောင်ချက်များအား ဟက်ကာများမှ exploit ပြုလုပ်ပြီး အသုံးပြုနေခြင်း ရှိ၊ မရှိကို စစ်ဆေးဆောင်ရွက်မှုပြုလုပ်သွားရန် လိုအပ်ပါကြောင်း  သတိပေး အကြံပြုအပ်ပါသည်။
.
ကိုးကားချက်။
https://thehackernews.com/2018/09/mikrotik-router-hacking.html
https://latesthackingnews.com/2018/09/05/mikrotik-routers-are-being-hijacked-to-intercept-users-traffic/
.

router