جهان اقتصاد از حمله سایبری به مراکز داده کشور گزارش می دهد:
وجود حفره امنیتی در مسیریاب ها عامل اصلی حمله سایبری
اهواز (پانا) -مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای در خصوص حمله صورت گرفته به سرویس های مراکز داده داخلی و بروز اختلال سراسری در سرویس اینترنت، اطلاعیه ای صادر کرد.
شب شنبه برخی از مراکز داده کشور از جمله در مرکز داده افرانت، شاتل، صبانت با حمله سایبری مواجه شده اند؛ این موضوع از سوی وزیر ارتباطات تایید شد.
وزیر ارتباطات در توئیتی گفته است: حدود ۳۵۰۰ مسیریاب (روتر) از مجموع چند صد هزار مسیریاب شبکه کشور متاثر از حمله شده اند.محمدجواد آذری جهرمی گفت: عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی، مناسب ارزیابی شده است.وی خاطرنشان کرد: ضعف در اطلاع رسانی مرکز ماهر به شرکتها و نیز ضعف در پیکره بندی مراکز داده (دیتاسنترها) وجود داشته است.
در این زمینه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (مرکز ماهر) با تشریح جزئیات این حمله سایبری اعلام کرد: در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود ۲۰:۱۵ روز ۱۷ فروردین ماه جاری، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.
طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف شده است. در موارد بررسی شده پیغامی با این مضمون در قالب startup-config مشاهده شد.
دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمان می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوئیچ اقدام کنند.
در این راستا لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) روی سوئیچ ها و روترهای خود اقدام کنند؛ همچنین بستن پورت ۴۷۸۶ در لبه شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، نیز لازم است بهروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده اینترنت کشور مسدود شد.
تا این لحظه، سرویس دهی شرکت ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.
همچنین پیش بینی می شود که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند.
در این شرایط اقدامات زیر ضروری است:
- با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
- قابلیت آسیب پذیر smart install client را با اجرای دستور «no vstack» غیرفعال شود.
- لازم است این تنظیم روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام شود. رمز عبور قبلی تجهیز تغییر داده شود.
- توصیه می شود در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود شود.
مرکز ماهر تاکید کرد: متعاقبا گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.
در این رابطه، یک کارشناس فناوری اطلاعات توضیح داد: اینترنت مجموعه ای از مسیریاب ها است که به آنها روتر و سوئیچ گفته می شود که شبکه اینترنت را به هم متصل می کند. درون این مسیریاب ها علاوه بر اینکه که یک پدیده سخت افزاری هستند، نرم افزاری وجود دارد که در شرکت سیسکو که سازنده قطعات سخت افزاری است، به آن «آی.او.اس» می گویند. حالا زمانی که می خواهیم سوئیچی را پیکربندی کنیم این نرم افزار واسطی بین ما و سخت افزار است.
ایمان اردستانی در گفتگو با خبرنگار جهان اقتصاد ادامه داد: اگر به آن نرم افزار دسترسی پیدا کنید، که یک راه دسترسی به آن حضور فیزیکی در محل و تغییر تنظیمات است و راه دیگر دسترسی از طریق اینترنت است که از این طریق امکان هک وجود دارد.
وی در توضیح اینکه چرا اکثر چرا اکثر سوئیچ ها و روترهایی که هک شدند، «آی.اس.پی» بودند؟ گفت: در ایران این سوئیچ ها به واسطه اینکه شرکت های سرویس دهنده اینترنت در داخل اینترنت هستند، امکان دسترسی به آنها از طریق اینترنت وجود دارد و شاهراه های اینترنت هستند و با ایجاد یک حفره امنیتی در داخل این نرم افزارها، دسترسی به این سوئیچ ها امکان پذیر شده است.
اردستانی در ادامه افزود: کارشناسان امنیتی در اردیبهشت ۹۶ یک حفره امنیتی را پیدا کرده بودند که حتی به شرکت سیسکو هم اعلام شده بود، سیسکو هم برای حل این مشکل پچ های امنیتی ارائه داده و مشکل را حل کرده بود اما در کشور ما به دلیل تحریم ها، سیستم ها به روز نیست و محدودیت هایی برای گرفتن آپدیت و ارتباط با سیستم کشورهای دیگر وجود دارد. از سوی دیگر کوتاهی هایی هم از جانب مسئولان وجود داشته است چراکه چک لیست های امنیتی به نام هاردنینگ وجود دارد که سخت افزارها را بر اساس چک لیست ها به صورت دوره ای بازبینی می کنند و حفره های امنیتی پوشانده شود که این اتفاق هم نیفتاده بود./جهان اقتصاد
ارسال دیدگاه