تکنویاب | اخبار تکنولوژی

5 12 - جزئیات حمله سایبری جمعه به دیتاسنترهای داخلی + اطلاعیه مرکز ماهر
اشتراک

جزئیات حمله سایبری جمعه به دیتاسنترهای داخلی + اطلاعیه مرکز ماهر

نویسنده: تاریخ: دسته بندی: کسب و کار

در پی حملات سایبری گسترده در (جمعه ۱۷ فروردین ۱۳۹۷)، بسیاری از شبکه‌های حیاتی کشور با اختلال مواجه شدند. مسئولان اعلام کرده‌اند که پس از این حملات هکری، هیچ دسترسی غیر مجازی به اطلاعات شهروندان اتفاق نیفتاده و این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو (Cisco) بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های آن‌ها حذف شده است. طبق آمار اعلام شده، ۱۶۸ هزار رایانه در جهان به دلیل نقص امنیتی سوئیچ‌های سیسکو مورد حمله سایبری قرار گرفتند که این حمله به دیتاسنترهای داخلی ایران نیز رسوخ کرده است.

اطلاعیه مرکز ماهر درباره حمله سایبری

در همین رابطه، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (مرکز ماهر) اطلاعیه‌ای را منتشر کرده و جزئیات حمله سایبری شب گذشته و بروز اختلال سراسری در سرویس اینترنت را منتشر کرده است. در این اطلاعیه آمده که در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی در ساعت حدود ۲۰:۱۵ روز ۱۷ فروردین‌ماه جاری، بررسی و رسیدگی فنی به موضوع انجام گرفت. طی بررسی اولیه مشخص شد که این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های این تجهیزات شامل running-config و statup-config حذف شده است. در موراد بررسی شده، پیغامی با این مضمون در قالب startup-config مشاهده شد.

دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات شرکت Cisco است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیب‌پذیری مذکور قرار داشته و مهاجمان می‌توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوئیچ اقدام کنند. در این راستا لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیر فعال‌سازی قابلیت فوق که عموما مورد استفاده نیز قرار ندارد، روی سوئیچ‌ها و روترهای خود اقدام کنند. همچنین بستن پورت ۴۷۸۶ در لبه شبکه نیز توصیه می‌شود. در صورت نیاز به استفاده از ویژگی smart install نیز لازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو صورت پذیرد.

محتوای قرار گرفته در تنظیمات startup-config روترهای آسیب دیده به شرح زیر است:

1 33 620x330 - جزئیات حمله سایبری جمعه به دیتاسنترهای داخلی + اطلاعیه مرکز ماهر

در لینک‌های زیر، جزئیات فنی این آسیب‌پذیری و نحوه برطرف‌سازی آن آمده است:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi

در همین راستا، به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب‌پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس‌دهنده‌های عمده اینترنت کشور مسدود شد. تا این لحظه، سرویس‌دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته و اقدام لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به ذکر است که متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد، این مشکل برطرف شد.

همچنین پیش‌بینی می‌شد که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند. بنابراین لازم است مدیران سیستم‌های آسیب دیده، اقدام زیر را انجام دهند:

  • با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و تنظیم تجهیز مجددا انجام پذیرد.
  • قابلیت آسیب‌پذیر smart install client با اجرای دستور «no vstack» غیر فعال شود.
  • لازم است این تنظیم روی همه تجهیزات روتر و سوئیچ سیسکو، حتی تجهیزاتی که آسیب ندیده‌اند، انجام شود. رمز عبور قبلی تجهیز نیز تغییر داده شود.
  • توصیه می‌شود در روتر لبه شبکه با استفاده از ACL ترافیک ورودی TCP 4786 نیز مسدود شود.

3 18 620x413 - جزئیات حمله سایبری جمعه به دیتاسنترهای داخلی + اطلاعیه مرکز ماهر

سرهنگ علی نیک نفس، رئیس مرکز تشخیص سایبری پلیس فتا با اشاره به حمله سایبری شب گذشته و اختلال رخ داده در سرویس اینترنت کشور، اظهار کرد:

بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان‌دهنده وجود این نقص امنیتی در بیش از ۱۶۸ هزار ابزار فعال در شبکه اینترنت بوده و این حمله سایبری ناشی از آسیب‌پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده است. با توجه به این که روترها و سوئیچ‌های مورد استفاده در سرویس‌دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوند، ایجاد مشکل در پیکربندی آن‌ها، تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه‌ها را در پی داشته است.

وی در ادامه اضافه کرد حدود یک سال قبل نیز شرکت مورد نظر هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور (smart install client) بر روی آن‌ها فعال است را منتشر کرده بود. به گفته نیک نفس، مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید همیشه رصد و شناسایی آسیب‌پذیری‌های جدید و رفع آن‌ها را در دستور کار خود داشته باشند تا چنین مشکلاتی تکرار نشود.

سرهنگ نیک نفس همچنین افزود هکرها می‌توانند با سوءاستفاده از آسیب‌پذیری شناسایی شده، علاوه بر سرزیر بافر به حذف و تغییر پیکربندی سوئیچ‌ها و روترهای سیسکو و کار انداختن خدمات آن‌ها اقدام کنند و قابلیت اجرای کد از راه دور را بر روی آن‌ها داشته باشند. در این راستا توصیه می‌شود مدیران شبکه سازمان‌ها و شرکت‌ها در اقدام فوریتی، با استفاده از دستور show vstack به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور no vstack آن را غیر فعال کنند.

2 24 620x303 - جزئیات حمله سایبری جمعه به دیتاسنترهای داخلی + اطلاعیه مرکز ماهر

رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا توصیه کرد با توجه به این که حمله مزبور بر روی پورت ۴۷۸۶TCP صورت گرفته است، لذا بستن ورودی پورت مزبور بر روی فایروال‌های شبکه نیز توصیه می‌شود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی از راه دور تجهیزات مذکور، لازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت Cisco و رفع نقص امنیتی مزبور از طریق آدرس گفته شده، انجام شود.

هسته شبکه ملی اطلاعات در امان ماند

محمد جواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات، در مورد حمله سایبری شب گذشته گفت هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و شبکه اپراتورهای موبایل به دلیل توجه به هشدارها و انجام اقدامات امنیتی لازم از این حمله در امان مانده‌اند. وی همچنین اعلام کرد حدود ۳۵۰۰ مسیریاب یا روتر از مجموع چند صد هزار مسیریاب شبکه کشور متاثر از حمله سایبری شب گذشته شده‌اند. همچنین عملکرد شرکت‌ها در دفع حمله و بازگردانی به شرایط عادی، مناسب ارزیابی شده، ولی ضعف در اطلاع‌رسانی مرکز ماهر به شرکت‌ها و نیز ضعف در پیکره‌بندی مراکز داده یا دیتاسنترها وجود داشته است.

آذری جهرمی اضافه کرد که به لحاظ بزرگی حمله اینترنتی شب گذشته، ۲ درصد سهم کشور ما بوده و ایران از نظر حجم حمله، جزو ۱۰ کشور اول جهان هم نبوده است. با این حال، یک شرکت ایرانی به نام رسپینا، ششمین شرکت جهان در اثرپذیری از این حمله سایبری بوده است.


دسترسی آسان به این مطلب:
https://technoyab.com/?p= 81955TechnoYab QR Code For: جزئیات حمله سایبری جمعه به دیتاسنترهای داخلی + اطلاعیه مرکز ماهر





این مطالب هم بخوانید


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *