جزئیات حمله سایبری شب گذشته؛ بخش وسیعی از زیرساخت‌های اینترنت ایران از دسترس خارج شد

شب گذشته حدود ساعت ۲۰:۲۰ ناگهان تعداد زیادی از سایت‌های اینترنتی از دسترس کاربران اینترنت خارج شد. این اختلال ناشی از یک حمله سایبری به زیرساخت‌های کشور بود.

در این حمله سایبری سایت سئو پارسیان نیز به همراه تعدادی دیگر از سایت‌های خبری برای چند ساعت از دسترس کاربران خارج شد که به همین دلیل از تمامی مخاطبین عذرخواهی می نماییم.

پس از این قطعی گسترده، محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات با انتشار پست‌هایی در صفحه شخصی خود در توئیتر این حمله سایبری به برخی مراکز داده کشور را تأیید کرد.

آذری جهرمی اعلام کرد دامنه حملات فراتر از ایران و به دلیل اعتراض به انتخابات آمریکا صورت گرفته و موضوع در دست بررسی است.

او همچنین در ساعات پایانی شب اعلام کرد که بیش از ۹۵ درصد مسیریاب‌های متاثر از حمله به حالت عادی بازگشتند و سرویس‌دهی را از سر گرفتند.

پس از رفع نسبی مشکل، نیک‌نفس، رئیس مرکز سایبری پلیس فتا اعلام کرد:

بیشترین مشکل ایجاد شده پس از حمله سایبری شب گذشته از کار افتادن سوئیچ ها و خاموش شدن سیستم های استفاده کننده از تجهیزات Cisco بود.

با رفع حمله سیستم ها بار دیگر مورد استفاده قرار گرفتند و در حال حاضر هیچ مشکلی در رابطه با این حمله وجود ندارد.

رئیس مرکز تشخیص و پیشگیری از جرائم سایبری پلیس فتا تاکید کرد: مردم نگران موضوعی نباشند چرا که در این حمله هیچ نشت یا سرقت اطلاعات کاربران رخ نداده است و تنها به تجهیزات آسیب وارد شده است.

مرکز ماهر دلیل اصلی اختلال در مراکز داده کشور را وجود حفره امنیتی تجهیزات سیسکو اعلام و تاکید کرد: به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده‌های عمده اینترنت کشور مسدود شد.

«در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود ۲۰:۱۵ مورخ ۱۷/۱/۹۷، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.

در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است.

در موارد بررسی شده پیغامی با این مذمون در غالب startup-config مشاهده گردید:

دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند.

لازم است مدیران سیستم با استفاده از دستور “no vstack” نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند،

همچنین بستن پورت ۴۷۸۶ در لبه‌ی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.

جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.

تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.

لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند.

لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.

قابلیت آسیب پذیر smart install client را با اجرای دستور “no vstack” غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد.

رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود گردد.

متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.»

منبع: باشگاه خبرنگاران جوان – خبرگزاری فارس

سئو پارسیان

سئو پارسیان با بیش از 10 سال سابقه فعالیت در زمینه طراحی و بهینه سازی سایت برای موتورهای جستجو یا سئو در مشهد , با شماره عضویت ۵۱۰۳۰۴۷۲ سازمان نظام مهندسی رایانه ای خراسان رضوی ، آماده همکاری در قالب مشاور و مجری پروژه های IT شما می باشد.

شما ممکن است این را هم بپسندید

۸ دیدگاه‌

  1. ΝΤΕΤΕΚΤΙΒ گفت:

    After I originally commented I seem to have clicked the -Notify me when new comments
    are added- checkbox and from now on each time a comment
    is added I recieve four emails with the same comment.
    Perhaps there is a way you can remove me from that service?
    Many thanks!

  2. ΝΤΕΤΕΚΤΙΒ گفت:

    I believe this is one of the such a lot vital info for
    me. And i am satisfied reading your article.
    However should observation on few normal issues, The site
    style is perfect, the articles is actually great : D. Just
    right task, cheers

  3. After looking into a few of the articles on your site, I seriously like your
    technique of writing a blog. I added it to my bookmark site list and will
    be checking back in the near future. Please visit my website too and let me
    know what you think.

  4. ممنونم بابت این نوشته خوب

    راستی ما چطور میتونیم در ارتباط باشیم؟

  5. natural stone quarries گفت:

    Its not my first time to pay a visit this website, i am browsing this web site dailly and obtain good information from here
    daily.

  6. سلام.وبسایت زیبایی دارید.دستتون درد نکنه

  7. سلام.وبسایت جالبی دارید.دستتون درد
    نکنه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *