در پی حملات سایبری رخ داده در شب گذشته اعلام شد که هیچ دسترسی غیرمجازی به اطلاعات شهروندان اتفاق نیفتاده و این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده است.
به گزارش نوپانا، به نقل از ایسنا، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) به دنبال حملات سایبری شب گذشته اطلاعیهای منتشر و اعلام کرده است که در پی بروز اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی در ساعت حدود 20:15 در تاریخ هفدهم فروردین ماه 97 بررسی و رسیدگی فنی به موضوع انجام و مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندیهای این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مضمون در غالب startup-config مشاهده گردید:
دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بوده و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام کنند، همچنین بستن پورت 4786 در لبهی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو صورت پذیرد.
محتوای قرار گرفته در تنظیمات startup-config روترهای آسیب دیده به شرح زیر است:
جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود شد.
ماهر اعلام کرده است که تا این لحظه، سرویس دهی شرکت ها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
همچنین لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل حل شد. همچنین پیشبینی می شود که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
قابلیت آسیبپذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم برروی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام شود و رمز عبور قبلی تجهیز تغییر داده شود.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) در پایان توصیه کرده است که در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود شود. ضمن اینکه متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان را منتشر خواهد کرد.
مرکز ماهر همچنین اعلام کرده بنابر گزارشات واصله برخی کاربران در اعمال دستور no vstack به ویژه بر روی سوییچهای 3750 با مشکل مواجه شدهاند. این دسته از کاربران میتوانند به سادگی از قابلیت access list سوییچ جهت مسدودسازی ترافیک ورودی به پورت tcp/4786 استفاده کنند.
در این ارتباط سرهنگ علی نیکنفس - رئیس مرکز تشخیص سایبری پلیس فتا - هم با اشاره به حمله سایبری شب گذشته با اشاره به اختلال رخ داده در سرویس اینترنت کشور گفت: بررسیهای اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت بوده است و این حمله سایبری ناشی از آسیب پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچ های مورد استفاده در سرویس دهندههای اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب میشوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکهها را در پی داشته است.
وی افزود: حدود یکسال قبل نیز شرکت مورد نظر هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور(smart install client) بر روی آنها فعال است را منتشر کرده بود.
به گفته نیکنفس، چنانچه قبلا نیز مکرراً تاکید شده است مسئولان فناوری اطلاعات سازمانها و شرکتها باید مستمراً رصد و شناسایی آسیبپذیریهای جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.
رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه هکرها میتوانند با سوءاستفاده از آسیبپذیری شناسایی شده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوئیچها و روترهای سیسکو و کارانداختن خدمات آنها اقدام کنند و همچنین قابلیت اجرای کد از راه دور بر روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه میشود مدیران شبکه سازمانها و شرکتها با استفاده از دستور"show vstack " به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور "no vstack" آنرا غیرفعال کنند.
به گفته او به علاوه با توجه به اینکه حمله مزبور بر روی پورت 4786TCPصورت گرفته است لذا بستن ورودی پورت مزبور بر روی فایروالهای شبکه نیز توصیه میشود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.
وی ادامه داد: همچنین پیشبینی میشود که با آغاز ساعت کاری سازمانها، ادارات و شرکتها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود گردند. لذا مدیران سیستمهای آسیب دیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راهاندازی مجدد تجهیزات خود کنند یا در صورت عدم وجود کپی پشتیبان، راهاندازی و پیکربندی تجهیزات مجددا انجام پذیرد.
براساس اعلام مرکز اطلاع رسانی فتا، نیکنفس با اشاره به اینکه قابلیت آسیبپذیر smart install client نیز با اجرای دستور "no vstack" غیر فعال شود، تاکید کرد: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام گردد. توصیه میگردد در روتر لبه شبکه با استفاده ازفهرست کنترل دسترسی(ACL )ترافیک ورودی 4786 TCP نیز مسدود گردد.
رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا اضافه کرد: مجددا تاکید میگردد که مسئولان فناوری اطلاعات سازمانها و شرکتها باید نسبت به بررسی مستمر آخرین آسیب پذیرهای سامانهها و ابزارها اقدام و نسبت به بهروزرسانی و رفع نواقص احتمالی در اسرع وقت اقدام کنند.
شب گذشته وزیر ارتباطات و فناوری اطلاعات با انتشار توئیتی از حمله گسترده به برخی مراکز داده کشور خبر داد.
به گزارش ایسنا محمد جواد آذری جهرمی در توییت خود آورده بود: برخی مراکز داده کشور با حمله سایبری مواجه شدهاند. تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتهاند. مرکز ماهر با یاری رساندن به این مراکز داده حمله را کنترل و در حال اصلاح شبکههای آنان و برگرداندن وضعیت به حالت طبیعی است.
تلاشها برای نا امن جلوه دادن ها یک فرصت برای اصلاح اشکالهاست.
آذری جهرمی همچنین در توئیت دیگری دامنه این حملات را فراتر از ایران اعلام کرده و ادامه داده است: منشا حملات در دست بررسی است. تا کنون بیش از ۹۵ درصد مسیر یاب های متاثر از حمله به حالت عادی بازگشته و سرویس دهی خود را از سر گرفتهاند.
همچنین وزیر ارتباطات امروز در اخبار ساعت ۱۴ توضیحاتی را در مورد حمله به دیتاسنترهای ایرانی ارائه کرد که در ویدیوی زیر قابل مشاهده است.