به نقل از «باشگاه خبرنگاران»

اختلال در اینترنت کشور نشت اطلاعات نداشت/ حمله سایبری به سرویس پیکربندی از راه دور تجهیزات سیسکو

تاریخ انتشار: ۱۸ فروردین ۱۳۹۷ | کد خبر: ۱۷۹۵۳۸۱۵

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته، گفت: هیچگونه دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است

به گزارش گروه اجتماعی باشگاه خبرنگاران جوان؛ سرهنگ دوم علی نیک‌نفس رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است، گفت: این حمله سایبری ناشی از آسیب پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچ های مورد استفاده در سرویس دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوند، ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه‌ها را در پی داشته است.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

 

سرهنگ دوم نیک‌نفس تصریح کرد: بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از 168000 ابزار فعال در شبکه اینترنت بوده است.

وی افزود: حدود یک‌سال قبل نیز شرکت مزبور هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور(smart install client) بر روی آنها فعال است را منتشر کرده بود.

وی یادآورشد: اطلاعات کامل و جزئیات فنی مربوط به آسیب پذیری مزبور به همراه وصله امنیتی مربوطه، ده روز قبل( هشتم فروردین) در آدرس زیر https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed اعلام شده است.

سرهنگ نیک‌نفس گفت:چنانچه قبلا نیز مکرراً تاکید شده است مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید مستمراً رصد و شناسایی آسیب‌پذیری‌های جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه هکرها می‌توانند با سوءاستفاده از آسیب‌پذیری شناسایی شده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوئیچ‌ها و روترهای سیسکو و کارانداختن خدمات آنها اقدام کنند و همچنین قابلیت اجرای کد از راه دور بر روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه می‌شود مدیران شبکه سازمان‌ها و شرکت‌ها با استفاده از دستور"show vstack " به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور "no vstack" آن‌را غیرفعال کنند.

وی ادامه داد: به علاوه با توجه به اینکه حمله مزبور بر روی پورت 4786TCP صورت گرفته است از این رو بستن ورودی پورت مزبور بر روی فایروال‌های شبکه نیز توصیه می‌شود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است به روز رسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.

سرهنگ نیک‌نفس خاطر نشان شد: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعات تا این لحظه، سرویس دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته است و اقدامات لازم برای پیشگیری از تکرار رخداد مشابه انجام شده است.

وی ادامه داد: همچنین پیش‌بینی می‌ شود که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ‌داخلی خود شوند. لذا مدیران سیستم‌های آسیب دیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیزات خود کنند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و پیکربندی تجهیزات مجددا انجام پذیرد.

سرهنگ نیک‌نفس با اشاره به اینکه قابلیت آسیب‌پذیر smart install client نیز با اجرای دستور "no vstack" غیر فعال شود، تاکید کرد: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام شود.

وی با ارائه توصیه ای یادآور شد: در روتر لبه شبکه با استفاده ازفهرست کنترل دسترسی(ACL ) ترافیک ورودی 4786 TCP نیز مسدود شود.

وی یادآور شد: مجددا تاکید می‌ شود که مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید نسبت به بررسی مستمر آخرین آسیب پذیرهای سامانه‎ها و ابزارها اقدام و نسبت به بروز رسانی و رفع نواقص احتمالی در اسرع وقت اقدام کنند.

سرهنگ نیک‌نفس در پایان گفت: هرگونه اطلاعات تکمیلی در این خصوص از طریق سایت پلیس فتا اطلاع رسانی خواهد شد.

انتهای پیام/

منبع: باشگاه خبرنگاران

کلیدواژه: نیروی انتظامی حوادث

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت www.yjc.ir دریافت کرده‌است، لذا منبع این خبر، وبسایت «باشگاه خبرنگاران» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۷۹۵۳۸۱۵ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

کشف یک بدافزار روسی توسط شرکت امنیتی در فنلاند

ایتنا - یک شرکت امنیتی فنلاندی بدافزار روسی را کشف کرده است که می‌تواند با نصب یک درب پشتی مجازی، به سیستم عامل ویندوز نفوذ کند. گفته شده که این بدافزار توسط سرویس اطلاعات نظامی روسیه اداره می‌شود.
شرکت امنیتی "WithSecure" بدافزار ناشناخته‌ای را کشف کرده است که یک "درب پشتی مجازی" در بعضی از سیستم‌های ویندوز نصب کرده و آنها را در برابر حملات سایبری آسیب‌پذیر می‌کند. این شرکت فنلاندی گفته که این بدافزار با نام رمز "کاپکا" می‌تواند با گروه هکری "کرم شنی" مرتبط باشد که توسط سرویس اطلاعات نظامی روسیه (GRU) اداره می‌شود. "کرم شنی" به ویژه برای حملات مخرب سایبری خود علیه اوکراین، شناخته می‌شود.

به گزارش ایتنا و به نقل از VOA، بنا بر اعلام این شرکت این بدافزار می‌تواند به مهاجمان دسترسی طولانی‌مدت به سیستم قربانی بدهد.

یافته‌های این شرکت امنیتی توسط شرکت مایکروسافت تایید شده است.

رودیگر تروست، کارشناس امنیتی WithSecure می‌گوید روسیه در نتیجه کشف این بدافزار، کارآیی خود را در جنگ سایبری علیه اوکراین از دست خواهد داد.

بر اساس اطلاعات WithSecure، این بدافزار به عنوان یک افزونه (ADD-In) خود را در برنامه "Microsoft Word" پنهان می‌کند.

محمدکاظم حسن‌نژاد، محقق امنیتی در WithSecure Intelligence، می‌گوید: «درب پشتی کاپکا احتمالاً یک ابزار سفارشی است که در حملات سایبری در مقیاس محدود استفاده می‌شود.»

مایکروسافت دی ماه ۱۴۰۲ نیز از هک ایمیل‌های گروهی از کارمندان این شرکت چندملیتی خبر داده بود. در میان کسانی که ایمیل‌شان هک شده بود، تعدادی از مدیران رده بالای مایکروسافت نیز دیده می‌شدند. مایکروسافت تاکید کرده بود که پشت این حملات یک گروه روسی قرار دارد که با نام‌های "کولاک نیمه‌شب" و "نوبلیوم" شناخته می‌شوند.

این شرکت روز چهارشنبه ۱۴ فوریه (۲۵ بهمن ۱۴۰۲) با انتشار بیانیه‌ای از افزایش حملات سایبری پنج گروه هکری از کشورهای چین، روسیه، ایران و کره شمالی با کمک هوش مصنوعی خبر داد و اعلام کرد که در همکاری با شریک تجاری خود شرکت "اوپن‌ای‌آی" این حملات را ردیابی کرده است. شرکت "اپن‌ای‌آی" نیز از حذف حساب‌های کاربری این هکرها خبر داد.

کارشناسان نظامی مدت‌هاست در مورد حملات سایبری روسیه برای تضعیف فناوری اطلاعات غرب یا انتشار اخبار جعلی هشدار می‌دهند.