جزئیات حمله سایبری شب گذشته؛ بخش وسیعی از زیرساخت‌های اینترنت ایران از دسترس خارج شد

شب گذشته حدود ساعت ۲۰:۲۰ یهو تعداد خیلی از سایت های اینترنتی از دسترس کاربران اینترنت خارج شد. این مشکل به وجود اومده بوسیله یه حمله سایبری به زیرساخت های کشور بود.

در این حمله سایبری سایت سئو پارسیان هم به همراه تعدادی دیگه از سایت های خبری واسه چند ساعت از دسترس کاربران خارج شد که به خاطر همین از همه مخاطبین معذرت خواهی میکنیم.

پس از این قطعی گسترده، محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات با منتشر کردن پست هایی در صفحه شخصی خود در توئیتر این حمله سایبری به بعضی مراکز داده کشور رو تأیید کرد.

آذری جهرمی اعلام کرد دامنه حملات بالاتر از ایران و به دلیل اعتراض به انتخابات آمریکا انجام شده و موضوع در دست بررسیه.

اون هم اینکه در ساعات پایانی شب اعلام کرد که بیشتر از ۹۵ درصد مسیریاب های ناراحت از حمله به حالت عادی برگشتن و سرویس دهی رو از سر گرفتن.

پس از رفع نسبی مشکل، خوب نفس، رئیس مرکز سایبری پلیس فتا اعلام کرد:

بیشترین مشکل ایجاد شده پس از حمله سایبری شب گذشته از کار افتادن سوئیچا و خاموش شدن سیستمای استفاده کننده از لوازم Cisco بود.

با رفع حمله سیستما دوباره استفاده شدن و الان هیچ مشکلی در مورد این حمله وجود نداره.

رئیس مرکز تشخیص و پیشگیری از جرائم سایبری پلیس فتا تاکید کرد: مردم نگران موضوعی نباشن چون که در این حمله هیچ نشت یا سرقت اطلاعات کاربران اتفاق نیفتاده و فقط به لوازم آسیب وارد شده.

مرکز ماهر دلیل اصلی مشکل در مراکز داده کشور رو وجود چاله امنیتی لوازم سیسکو اعلام و تاکید کرد: به محض شناسایی عامل این اتفاق، دسترسی به پورت مورد استفاده بوسیله اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و هم اینکه کلیه سرویس دهنده های کلی اینترنت کشور بسته شد.

«به دنبال بروز مشکلات سراسری در سرویس اینترنت و سرویسای مراکز داده داخلی در ساعت حدود ۲۰:۱۵ مورخ ۱۷/۱/۹۷، بررسی و رسیدگی فنی به موضوع انجام قبول کرد.

درزمان بررسی اولیه مشخص شد این حملات شامل لوازم روتر و سوئیچ زیاد شرکت سیسکو بوده که تنظیمات این لوازم مورد حمله قرار گرفته و کلیه پیکربندیای این لوازم (شامل running-config و startup-config) حذف گردیده.

در موارد بررسی شده پیغامی با این مذمون در غالب startup-config مشاهده گردید:

دلیل اصلی مشکل، وجود چاله امنیتی در ویژگی smart install client لوازم سیسکوه و هر سیستم دلیلی که این ویژگی روی اون فعال باشه در برابر آسیب پذیری نامبرده قرار داشته و مهاجمین می تونن با به کار گیری اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوئیچ دست به کار شن.

لازمه مدیران سیستم با به کار گیری دستور “no vstack” نسبت به غیرفعال سازی توانایی فوق (که عموما مورد استفاده هم قرار نداره) روی سوئیچا و روترهای خود دست به کار شن،

هم اینکه بستن پورت ۴۷۸۶ در لبه ی شبکه هم پیشنهاد می شه. در صورت نیاز به به کار گیری ویژگی smart install، لازمه بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.

جزییات فنی این آسیب پذیری و چگونگی برطرف سازی اون در منابع زیر آمده:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

در همین زمینه به محض شناسایی عامل این اتفاق، دسترسی به پورت مورد استفاده بوسیله اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و هم اینکه کلیه سرویس دهنده های بیشتر اینترنت کشور بسته گردید.

تا این لحظه، سرویس دهی شرکتا و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا به شکل کامل به حالت عادی برگشته و اقدامات لازم جهت پیشگیری از تکرار اتفاق مشابه انجام شده.

نیاز به توضیحه بدیش اینه رابطه دیتاسنتر میزبان سایت مرکز ماهر هم دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. هم اینکه پیش بینی می شه که با شروع ساعت کاری سازمانا، ادارات و شرکتا، شمار خیلی از این مراکز متوجه وقوع مشکل در سرویس شبکه داخلی خود گردند.

بنابر این مدیران سیستمای آسیب دیده لازمه اقدامات زیر رو بکنن: با به کار گیری کپی پشتیبان قبلی، مبادرت به راه اندازی دوباره تجهیز خود کنن یا در صورت نبود وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز دوباره انجام شه.

توانایی ضعیف smart install client رو با اجرای دستور “no vstack” غیر فعال شه. لازمه این تنظیم روی همه لوازم روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده ان) انجام شه.

رمز عبور قبلی تجهیز تغییر داده شه. پیشنهاد می شه در روتر لبه شبکه با به کار گیری ACL ترافیک ورودی ۴۷۸۶ TCP هم بسته شه.

بعداً گزارشات تکمیلی در مورد این آسیب پذیری و ابعاد تاثیرگذاری اون در کشور و بقیه نقاط جهان بوسیله این مرکز منتشر می شه.»

منبع: باشگاه خبرنگاران جوون – خبرگزاری فارس

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *