شناسایی عامل حمله سایبری به مراکز داده کشور/ توصیه‌های امنیتی به مدیران سیستم‌های آسیب‌دیده

به گزارش گروه اجتماعی دفاع پرس، مرکز ماهر در خصوص اختلال سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی اطلاعیه‌ای صادر کرد که به این شرح است:

«در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17 فروردین 97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.

طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های این تجهیزات (شامل running-config و startup-config) حذف شده است. در موارد بررسی شده پیغامی با این مذمون در قالب startup-config مشاهده شد:

دلیل اصلی مشکل، وجود حفره‌ی امنیتی در ویژگی smart install client تجهیزات سیسکو می‌باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب‌پذیری مذکور قرار داشته و مهاجمین می‌توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند. لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ‌ها و روترهای خود اقدام کنند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می‌شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب‌پذیری و نحوه‌ی برطرف‌سازی آن در منابع یک و دو آمده است. در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب‌پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده‌های عمده‌ی اینترنت کشور مسدود شد.

تا این لحظه، سرویس‌دهی شرکت‌ها و مراکز داده‌ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.

لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت 4 بامداد مشکل رفع شد. همچنین پیش بینی می‌شود که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه‌ی داخلی خود شوند.

لذا مدیران سیستم‌های آسیب‌دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور «no vstack» غیر فعال شود. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام شود. رمز عبور قبلی تجهیز تغییر داده شود. توصیه می‌شود در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود شود. متعاقباً گزارشات تکمیلی در رابطه با این آسیب‌پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.»

به گزارش دفاع پرس، وزیر ارتباطات هم دیشب با تائید حملات سایبری به برخی از مراکز داده کشور نوشت: ‏امشب برخی از مراکز داده کشور با حمله سایبری مواجه شده‌اند. تعدادی از مسیریاب‌های کوچک به تنظیمات کارخانه‌ای تغییر یافته‌اند.

مرکز ماهر به یاری این مراکز داده، حمله را کنترل و در حال اصلاح شبکه‌های آنان به حالت طبیعی هستند. تلاش‌ها برای ناامن جلوه دادن‌ها یک فرصت برای اصلاح اشکال‌هاست.

بررسی‌های اولیه حاکی از آن است که در تنظیمات مسیریاب‌های مورد حمله قرار گرفته، با حک پرچم ایالات متحده، اعتراضی درباره انتخابات آمریکا صورت گرفته است. دامنه حملات فراتر از ایران است. منشا حملات در دست بررسی است. تا کنون بیش از 95 درصد مسیریاب‌های متاثر از حمله به حالت عادی بازگشتند و سرویس‌دهی را از سر گرفتند.

انتهای پیام/ 241