مقدمه
در سالهای اخیر، امنیت تجهیزات شبکه مانند روترها، فایروالها و سوئیچها به یکی از مهمترین دغدغههای سازمانهای فناوری اطلاعات تبدیل شده است. در این میان، اصطلاحی به نام مجیک پکت (Magic Packet) یا پکت محرک مخفی (Trigger Packet) در ادبیات امنیتی پدیدار شده است — پکتی که با داشتن ساختار یا امضای خاص، میتواند موجب فعال شدن عملکردهای پنهان در سطح firmware یا سیستمعامل دستگاه شود.
این پکتها گاه برای عیبیابی، تعمیر از راه دور، یا کنترل اضطراری طراحی شدهاند، اما در عمل میتوانند نقطه شروعی برای سوءاستفاده و ایجاد Backdoor باشند.
ماهیت فنی مجیک پکتها
مجیک پکتها معمولاً در سطح لایه ۳ یا ۴ مدل OSI (IP و Transport) تعریف میشوند. برخلاف بستههای معمول شبکه، این پکتها دارای امضا (Signature) خاصی در Payload یا Header هستند که توسط Firmware دستگاه شناسایی میشود.
بهطور معمول، ویژگیهای این پکتها عبارتاند از:
- پورت غیرمعمول یا اختصاصی (مثلاً 32764 یا 9999 که در برخی روترها مشاهده شده است)
- دادهی آغازگر خاص (Trigger String) در محتوای UDP/TCP
- نیاز به CRC یا مقدار خاص در فیلد checksum
- اجرای دستوری خاص در سطح firmware پس از دریافت
برای مثال، در یک دستگاه خاص ممکن است ارسال بستهای با دادهی زیر از طریق UDP به پورت 32764 باعث فعال شدن رابط Telnet شود:
Magic Trigger: "ScMM\x00\x00\x00\x00"نمونههای واقعی و مستند
۱. Backdoor پورت 32764 در روترهای Linksys و Netgear
در سال ۲۰۱۴، پژوهشگر امنیتی Eloi Vanderbeken کشف کرد که بسیاری از مدلهای Linksys، Cisco، Netgear و SerComm دارای سرویسی پنهان در پورت TCP/32764 هستند.
با ارسال پکت خاصی (Magic Packet) به این پورت، دستگاه یک دسترسی root از راه دور در اختیار مهاجم قرار میداد.
نمونه پکت:
00000000 53 63 4d 4d 00 00 00 00 ScMM....این پکت باعث میشد سرویس backdoor فعال شده و پاسخ مشابه زیر از دستگاه دریافت شود:
00000000 00 00 00 14 00 00 00 00 ........این آسیبپذیری بعدها در چندین نسخه firmware اصلاح شد، اما نشان داد مجیک پکتها میتوانند بخشی از طراحی داخلی شرکتها باشند.
۲. درب پنهان Huawei و ZTE
در برخی گزارشهای امنیتی (از جمله پژوهشهای NCSC بریتانیا)، اشاره شده بود که در تجهیزات Huawei و ZTE رشتههایی در firmware وجود دارد که با دریافت پکت خاص، حالت دسترسی تعمیر یا debug را فعال میکند.
در این حالت، بدون نیاز به رمز عبور اصلی، امکان ورود با سطح دسترسی مدیریتی فراهم میشود. این دسترسیها معمولاً برای پشتیبانی فنی در کارخانه یا مدیریت اضطراری شبکههای بزرگ طراحی شدهاند، ولی در عمل میتوانند درب پشتی بالقوه باشند.
۳. Mikrotik RouterOS و Packet Trigger در Winbox
در سال ۲۰۱۸، یک آسیبپذیری در Mikrotik RouterOS افشا شد که مهاجمان میتوانستند با ارسال پکتهای خاص به پورت 8291 (Winbox)، به بخش حافظه credential cache دسترسی پیدا کنند.
این آسیبپذیری ناشی از بررسی ناکامل طول بسته و الگوی خاصی در payload بود. اگرچه این مورد مستقیماً “مجیک پکت” نبود، اما ماهیت آن مشابه بود: پکت خاص باعث رفتار متفاوت و ناخواسته در firmware میشد.
۴. Cisco — پکتهای پنهان در سرویس Smart Install
در سال ۲۰۱۷ پژوهشگران Talos (وابسته به Cisco) گزارش کردند که پروتکل Smart Install در بسیاری از سوئیچها و روترهای Cisco، قابلیت دریافت پکتهایی خاص بر بستر TCP/4786 را دارد که بدون احراز هویت میتواند تنظیمات دستگاه را بازنویسی یا firmware را جایگزین کند.
مشخصات مجیک پکت:
- پورت: 4786 (TCP)
- Trigger: هدر خاص در پروتکل Smart Install
- اثر: تغییر پیکربندی از راه دور، حتی بدون ورود به CLI
🔎 مثال واقعی:
در حملات سال ۲۰۱۸ علیه شبکههای خاورمیانه، مهاجمان با ارسال پکت Smart Install مخصوص، بنر “Don’t mess with our elections” را روی صدها روتر Cisco جایگزین کردند.
۵. Juniper ScreenOS – پکت فعالسازی Backdoor رمزنگاری
در دسامبر ۲۰۱۵، Juniper Networks تأیید کرد که در سیستمعامل ScreenOS (مورد استفاده در فایروالهای NetScreen)، کدی مخفی وجود دارد که با دریافت پکتهایی با الگوی خاص، دسترسی مدیریتی فراهم میکرد.
ویژگی پکت:
- پورت هدف: SSH یا Telnet
- Trigger: رشتهی خاص در payload احراز هویت
- اثر: فعال شدن حساب مدیریتی با پسورد ثابت (backdoor)
رمز عبور پنهان کشفشده:
<<< %s(un='%s') = %uاین رشته، بخشی از مکانیزم احراز هویت بود که در صورت ورود رشتهی خاص، اعتبارسنجی را دور میزد.\
۶. Fortinet FortiGate – پکت مخفی دسترسی مدیریتی (2016)
در سال ۲۰۱۶، در نسخهای از firmware تجهیزات FortiGate، حساب مدیریتی مخفی با نام “Fortimanager_Access” وجود داشت که با ارسال پکت خاص به پورت FGFM (8013) فعال میشد.
مشخصات:
- پورت: TCP/8013
- Trigger: دادهی دستنویس رمزگذاریشده با AES
- اثر: باز کردن دسترسی CLI مدیریتی بدون نیاز به پسورد اصلی
Fortinet بعدها اعلام کرد این قابلیت برای «مدیریت کارخانه» بوده، ولی به اشتباه در نسخه عمومی firmware باقی مانده است.
۷. D-Link – درب پنهان با رشتهی مخصوص در HTTP
در سال ۲۰۱۳، پژوهشگری به نام Craig Heffner از Tactical Network Solutions، در چند مدل از روترهای D-Link (از جمله DIR-100 و DIR-615) کشف کرد که با ارسال User-Agent خاص در مرورگر، میتوان بدون رمز عبور وارد پنل مدیریتی شد.
Trigger:
User-Agent: xmlset_roodkcableoj28840ybtideجالب اینکه اگر رشته را برعکس بخوانیم، میشود:
editby04882joelbackdoorیعنی “Joel backdoor” — اشاره به نام یکی از توسعهدهندگان داخلی D-Link ؟؟؟
۸. Zyxel – حساب پنهان پشتیبانی فعال با پکت خاص (2021)
در ژانویه ۲۰۲۱، مشخص شد که برخی از فایروالها و اکسسپوینتهای Zyxel دارای کاربر پنهانی به نام “zyfwp” هستند.
رمز این حساب در firmware رمزگذاریشده بود، اما با ارسال پکت خاص به پورت مدیریت (SSH یا HTTPS) میشد احراز هویت bypass کرد.
جزئیات:
- پورت: 443 یا 22
- Trigger: مقدار خاص در handshake اولیه TLS
- اثر: ورود با سطح کاربر root
۹. TP-Link – پکت UDP مخصوص برای باز کردن Telnet
در نسخههای قدیمیتر برخی از مودمهای TP-Link، یک سرویس UDP روی پورت 1040 فعال بود که اگر پکتی با مقدار خاص در اولین بایت دریافت میکرد، پورت Telnet (23) را برای چند دقیقه باز میکرد.
Trigger Example (hex):
00 FF 00 00 00 00 00 00پس از ارسال این پکت، مهاجم میتوانست به 192.168.1.1:23 وصل شود و با کاربر root وارد شود — بدون پسورد.
۱۰. Huawei – پکتهای Diagnostic Activation
در بررسیهای آزمایشگاه امنیتی NCSC بریتانیا روی تجهیزات Huawei، اشاره شد که در firmware برخی روترها، بخشی از کد با نام diag_socket وجود دارد که با دریافت پکت خاص UDP، حالت diagnostic shell را فعال میکند.
📦 ویژگیها:
- پورت: UDP/9527
- Trigger: رشته “huawei_diag” در payload
- اثر: فعال شدن شل root برای چند ثانیه
۱۱. Ubiquiti – پکتهای خاص برای دسترسی رادیویی
در برخی نسخههای قدیمی سیستم AirOS، ارسال پکت UDP با مقدار خاص به پورت 10001 باعث پاسخدهی دستگاه با اطلاعات شناسایی کامل (مدل، IP، MAC، نسخه firmware) میشد.
اگرچه در ظاهر کاربرد مدیریتی داشت، اما در برخی حملات برای شناسایی انبوه دستگاهها و حتی حملات DDoS مورد استفاده قرار گرفت.
پکت شناسایی:
0x01 0x00 0x00 0x00۱۲. Netis / Netcore – درب پنهان UDP (پورت 53413)
پژوهشگرانی در Rapid7 کشف کردند که تقریباً تمام مدلهای Netis دارای پورت UDP باز به شماره 53413 هستند.
ارسال پکت خاص به این پورت، یک CLI سطح پایین (root shell) فعال میکند که دستورات را از طریق UDP میپذیرد.
📦 ویژگی پکت:
- پورت: UDP/53413
- Trigger: هیچ احراز هویتی ندارد
- اثر: اجرای مستقیم دستورات سیستم عامل
۱۳. HPE iLO – پکتهای مدیریت خارج از باند
در سرورهای HP، کنترلر iLO (Integrated Lights-Out) برای مدیریت از راه دور طراحی شده است. اما پژوهشها نشان دادهاند که در نسخههای قدیمیتر، ارسال پکتهای خاص UDP به پورت 17988 میتوانست موجب فعال شدن دسترسی پنهان debug شود.
این مجیک پکتها برای تست کارخانه بودهاند، اما در محیط واقعی نیز باقی مانده بودند.
🔒 تحلیل کلی
در جمعبندی، از بررسی بیش از ده برند مختلف میتوان دریافت:
| برند | نوع پکت | لایه | اثر امنیتی |
|---|---|---|---|
| Linksys/Netgear | TCP Trigger (32764) | L4 | Root Shell |
| D-Link | HTTP User-Agent | L7 | Admin Bypass |
| Cisco | Smart Install | L4 | Config Change |
| Juniper | SSH Trigger | L4 | Backdoor Access |
| TP-Link | UDP (1040) | L4 | Enable Telnet |
| Huawei | UDP (9527) | L4 | Diagnostic Shell |
| Fortinet | FGFM Packet | L4 | Hidden Admin |
| Zyxel | TLS Handshake | L6 | Root Login |
| Netis | UDP (53413) | L4 | Execute Commands |
کاربردهای مشروع مجیک پکتها
نکته مهم آن است که وجود این نوع پکتها همیشه به معنی Backdoor مخرب نیست. در برخی سناریوهای خاص، استفاده از آنها هدفمند و قانونی است، مانند:
- دسترسی اضطراری کارخانه (Emergency Support Mode)
- فعالسازی remote debugging در زمان توسعه سیستمعامل
- بازیابی دستگاه در زمان قفل شدن تنظیمات مدیریتی
در این حالت، شرکت سازنده معمولاً اسناد داخلی یا امضای رمزگذاریشده برای پکت مجاز دارد و فقط ابزار رسمی شرکت قادر به ارسال آن است.
اما در صورت افشای امضا یا الگوریتم تشخیص، این پکت میتواند به تهدید امنیتی تبدیل شود.
خطرات امنیتی و تهدیدهای مرتبط
وجود مجیک پکتها خطرات زیر را به همراه دارد:
- دور زدن احراز هویت (Authentication Bypass)
- باز شدن درب دسترسی دائمی در سطح Root یا Admin
- امکان کنترل شبکه بدون ردپا در لاگهای معمولی
- استفاده در عملیات جاسوسی سایبری و APTها
به عنوان نمونه، در گزارشهای مربوط به APT34 (ایران) و Equation Group (NSA)، از ترفندهای مشابه مجیک پکت برای فعالسازی implantهای شبکهای استفاده شده بود.
تشخیص و مقابله
برای شناسایی چنین پکتهایی در شبکه، ابزارهای زیر مفید هستند:
- Wireshark / Zeek برای تحلیل ترافیک ناشناخته
- nmap –script broadcast برای کشف پورتهای غیرمعمول
- Firmware Analysis Toolkit (FAT) برای استخراج و جستجوی رشتههای خاص در firmware
- Suricata Rules برای تعریف Signatureهای پکتهای مشکوک
نمونه قانون Suricata برای شناسایی پکت Linksys backdoor:
alert tcp any any -> any 32764 (content:"ScMM"; msg:"Possible Linksys magic packet"; sid:2025001;)نتیجهگیری
وجود مجیک پکتها در تجهیزات شبکه، چه بهصورت عمدی و چه ناخواسته، نشان میدهد که امنیت firmware تجهیزات زیرساختی هنوز در سطح شفاف و قابل اعتماد نیست.
در عصر حملات زنجیره تأمین (Supply Chain Attacks)، حتی یک پکت ساده میتواند بهعنوان کلید دسترسی مخفی به هزاران دستگاه در سراسر جهان عمل کند.
برای مقابله با چنین تهدیداتی:
- همیشه firmware رسمی و بهروز نصب شود.
- از مانیتورینگ عمیق ترافیک (Deep Packet Inspection) استفاده شود.
- پورتهای مدیریتی به شبکه داخلی محدود شوند.
- تحلیل firmware قبل از استقرار در شبکههای حساس انجام گیرد.
منابع
- Vanderbeken, E. “Backdoor in Linksys and Netgear Routers,” GitHub Report, 2014.
- Mikrotik Security Advisory: “Winbox Vulnerability (CVE-2018-14847),” 2018.
- NCSC UK. “Assessment of Huawei Network Equipment,” Technical Report, 2019.
- Zeek and Suricata Official Documentation, 2023.
- OWASP IoT Security Guide, Chapter on Firmware Analysis.
افزودن نظر