جزئیات حمله سایبری شب گذشته؛ بخش وسیعی از زیرساختهای اینترنت ایران از دسترس خارج شد
شب گذشته حدود ساعت ۲۰:۲۰ ناگهان تعداد زیادی از سایتهای اینترنتی از دسترس کاربران اینترنت خارج شد. این اختلال ناشی از یک حمله سایبری به زیرساختهای کشور بود.
در این حمله سایبری سایت سئو پارسیان نیز به همراه تعدادی دیگر از سایتهای خبری برای چند ساعت از دسترس کاربران خارج شد که به همین دلیل از تمامی مخاطبین عذرخواهی می نماییم.
پس از این قطعی گسترده، محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات با انتشار پستهایی در صفحه شخصی خود در توئیتر این حمله سایبری به برخی مراکز داده کشور را تأیید کرد.
آذری جهرمی اعلام کرد دامنه حملات فراتر از ایران و به دلیل اعتراض به انتخابات آمریکا صورت گرفته و موضوع در دست بررسی است.
او همچنین در ساعات پایانی شب اعلام کرد که بیش از ۹۵ درصد مسیریابهای متاثر از حمله به حالت عادی بازگشتند و سرویسدهی را از سر گرفتند.
پس از رفع نسبی مشکل، نیکنفس، رئیس مرکز سایبری پلیس فتا اعلام کرد:
بیشترین مشکل ایجاد شده پس از حمله سایبری شب گذشته از کار افتادن سوئیچ ها و خاموش شدن سیستم های استفاده کننده از تجهیزات Cisco بود.
با رفع حمله سیستم ها بار دیگر مورد استفاده قرار گرفتند و در حال حاضر هیچ مشکلی در رابطه با این حمله وجود ندارد.
رئیس مرکز تشخیص و پیشگیری از جرائم سایبری پلیس فتا تاکید کرد: مردم نگران موضوعی نباشند چرا که در این حمله هیچ نشت یا سرقت اطلاعات کاربران رخ نداده است و تنها به تجهیزات آسیب وارد شده است.
مرکز ماهر دلیل اصلی اختلال در مراکز داده کشور را وجود حفره امنیتی تجهیزات سیسکو اعلام و تاکید کرد: به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهندههای عمده اینترنت کشور مسدود شد.
«در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود ۲۰:۱۵ مورخ ۱۷/۱/۹۷، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.
در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است.
در موارد بررسی شده پیغامی با این مذمون در غالب startup-config مشاهده گردید:
دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند.
لازم است مدیران سیستم با استفاده از دستور “no vstack” نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند،
همچنین بستن پورت ۴۷۸۶ در لبهی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.
جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.
تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند.
لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
قابلیت آسیب پذیر smart install client را با اجرای دستور “no vstack” غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد.
رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود گردد.
متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.»
منبع: باشگاه خبرنگاران جوان – خبرگزاری فارس
After I originally commented I seem to have clicked the -Notify me when new comments
are added- checkbox and from now on each time a comment
is added I recieve four emails with the same comment.
Perhaps there is a way you can remove me from that service?
Many thanks!
I believe this is one of the such a lot vital info for
me. And i am satisfied reading your article.
However should observation on few normal issues, The site
style is perfect, the articles is actually great : D. Just
right task, cheers
After looking into a few of the articles on your site, I seriously like your
technique of writing a blog. I added it to my bookmark site list and will
be checking back in the near future. Please visit my website too and let me
know what you think.
bookmarked!!, I like your website!
ممنونم بابت این نوشته خوب
راستی ما چطور میتونیم در ارتباط باشیم؟
Its not my first time to pay a visit this website, i am browsing this web site dailly and obtain good information from here
daily.
سلام.وبسایت زیبایی دارید.دستتون درد نکنه
سلام.وبسایت جالبی دارید.دستتون درد
نکنه