جزییات جدید از حملات سایبری اخیر به برخی مراکز داده ایران +عکس
در پی حمله سایبری گسترده به برخی مراکز داده کشور و از کار افتادن شمار زیادی از سایتهای ایرانی، جزییات جدیدی از این اتفاق کشف شد.
حمله سایبری بامداد امروز به برخی دیتاسنترهای کشور و تغییر تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای؛ فعالیت بسیاری از سایتهای ایرانی را متوقف کرد و دامنه این اختلالات تا ساعاتی پیش نیز وجود داشت و ممکن است هنوز برخی سایتها با اختلال مواجه باشند.
به گزارش اقتصادآنلاین به نقل از تسنیم، در پی بروز این اتفاق، وزیر ارتباطات و فناوری اطلاعات در توییتر خود نوشت: مرکز ماهر بهیاری این مراکز داده، حمله را کنترل و در حال اصلاح شبکههای آنان بهحالت طبیعی است؛ تلاشها برای ناامن جلوه دادنها یک فرصت برای اصلاح اشکالهاست.
یک ضعف امنیتی در سرورهای سیسکو دلیل این حمله اعلام شده است؛ اشکالی که فقط شامل ایران نبوده و برخی سرورها در سایر کشورها را هم دچار مشکل کرده است.
این شرکت بالغ بر یک هفته گذشته آپدیتی نرمافزاری را برای این مشکل امنیتی منتشر کرد که آخرین بروزرسانی این پچ مربوط به ساعتی قبل از حمله به سرورهای ایرانی میشد.
با وجود اینکه سایت مرکز ماهر وزارت ارتباطات نیز در دامنه این اختلالات قرار داشت اما با انتشار اطلاعیهای اعلام کرد:
"در پی بروز اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی در ساعت حدود 20:15 مورخ 97.1.17، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.
در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندیهای این تجهیزات (شامل running-config و startup-config) حذف شده است.
دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیبپذیری مذکور قرار داشته و مهاجمان میتوانند با استفاده از اکسپلویت منتشرشده نسبت به اجرای کد از راه دور بر روی روتر ــ سوئیچ اقدام کنند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعالسازی قابلیت فوق (که عموماًً مورد استفاده نیز قرار ندارد) بر روی سوئیچها و روترهای خود اقدام کنند، همچنین بستن پورت چهار هزار و 786 در لبه شبکه نیز توصیه میشود.
در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو صورت پذیرد.
در این راستا بهمحض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیبپذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویسدهندههای عمده اینترنت کشور مسدود شد.
تا این لحظه، سرویسدهی شرکتها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا بهصورت کامل به حالت عادی بازگشته و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متأسفانه ارتباط دیتاسنتر میزبان وبسایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت 4 بامداد مشکل رفع شد.
همچنین پیشبینی میگردد که با آغاز ساعت کاری سازمانها، ادارات و شرکتها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند؛ لذا مدیران سیستمهای آسیبدیده لازم است اقدامات زیر را انجام دهند:
• با استفاده از کپی پشتیبان قبلی، اقدام به راهاندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راهاندازی و تنظیم تجهیز مجدداً انجام پذیرد.
• قابلیت آسیبپذیر smart install client را با اجرای دستور "no vstack" غیرفعال شود؛ لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام شود.
• رمز عبور قبلی تجهیز تغییر داده شود.
• توصیه میشود در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود شود.
متعاقباً گزارشات تکمیلی در رابطه با این آسیبپذیری و ابعاد تأثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد".
بامداد امروز وزیر ارتباطات اعلام کرده بود که بیش از 95 درصد مسیریابهای متأثر از حمله به حالت عادی بازگشتند و سرویسدهی را از سر گرفتند.
بهگفته آذری جهرمی بررسیهای اولیه حاکی از آن است که در تنظیمات مسیریابهای مورد حمله قرارگرفته، با هک پرچم ایالت متحده، اعتراضی درباره انتخابات آمریکا صورت گرفته است؛ دامنه حملات فراتر از ایران است.
تصویر هکشده نیز بهشرح زیر است: