کد خبر: ۳۷۰۳۴۸۵
تاریخ: ۱۸ فروردين ۱۳۹۷ - ۱۰:۳۲
مرکز ماهر اعلام کرد؛
جزئیات اختلال سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی کشور
گروه فناوری اطلاعات ــ مرکز ماهر با صدور اطلاعیهای جزئیات حملات سایبری شب گذشته به سایتها و مراکز داده داخلی کشور را منتشر و توضیحاتی را پیرامون جلوگیری مجدد این اتفاق اعلام کرد.
به گزارش ایکنا؛ مرکز ماهر با صدور اطلاعیهای جزئیات حملات سایبری شب گذشته به سایتها و مراکز داده داخلی کشور را منتشر و نوشت: در پی بروز اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی در ساعت حدود ۲۰:۱۵ مورخ 17 فروردین 97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندیهای این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مذمون در غالب startup-config مشاهده شد.
دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو میباشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیبپذیری مذکور قرار داشته و مهاجمین میتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو میباشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیبپذیری مذکور قرار داشته و مهاجمین میتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعالسازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچها و روترهای خود اقدام کند، همچنین بستن پورت ۴۷۸۶ در لبه شبکه نیز توصیه میشود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوهی برطرف سازی آن در این منابع آمده است.
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیبپذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهندههای عمده اینترنت کشور مسدود شد. تا این لحظه، سرویس دهی شرکتها و مراکز داده بزرگ ازجمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیشبینی میشود که با آغاز ساعت کاری سازمانها، ادارات و شرکتها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود گردند؛ لذا مدیران سیستمهای آسیب دیده لازم است اقدامات زیر را انجام دهند:
با استفاده از کپی پشتیبان قبلی، اقدام به راهاندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راهاندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیبپذیر smart install client را با اجرای دستور no vstack غیر فعال شود. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام شود. رمز عبور قبلی تجهیز تغییر داده شود. توصیه میگردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود شود.
متعاقباً گزارشات تکمیلی در رابطه با این آسیبپذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.
انتهای پیام