شناسایی عامل حمله سایبری به مراکز داده کشور
تاریخ انتشار: ۱۸ فروردین ۱۳۹۷ | کد خبر: ۱۷۹۵۶۶۵۲
به گزارش «نماینده» مرکز ماهر در خصوص اختلال سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی اطلاعیهای صادر کرد که به این شرح است:
«در پی بروز اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی در ساعت حدود ۲۰:۱۵ مورخ ۱۷/۱/۹۷، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.
در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندیهای این تجهیزات (شامل running-config و startup-config) حذف گردیده است.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
دلیل اصلی مشکل، وجود حفرهی امنیتی در ویژگی smart install client تجهیزات سیسکو میباشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین میتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند. لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچها و روترهای خود اقدام نمایند، همچنین بستن پورت ۴۷۸۶ در لبهی شبکه نیز توصیه میشود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوهی برطرف سازی آن در منابع زیر آمده است: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۷۰۲۱۴-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۸۰۳۲۸-smi۲#fixed در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهندههای عمدهی اینترنت کشور مسدود گردید.
تا این لحظه، سرویس دهی شرکتها و مراکز دادهی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش بینی میگردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکهی داخلی خود گردند؛ لذا مدیران سیستمهای آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه میگردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.»
بر این اساس وزیر ارتباطات هم دیشب با تائید حملات سایبری به برخی از مراکز داده کشور نوشت: امشب برخی از مراکز داده کشور با حمله سایبری مواجه شدهاند. تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتهاند.
مرکز ماهر به یاری این مراکز داده، حمله را کنترل و در حال اصلاح شبکههای آنان به حالت طبیعی هستند. تلاشها برای ناامن جلوه دادنها یک فرصت برای اصلاح اشکالهاست.
بررسیهای اولیه حاکی از آن است که در تنظیمات مسیریابهای مورد حمله قرار گرفته، با حک پرچم ایالت متحده، اعتراضی درباره انتخابات آمریکا صورت گرفته است. دامنه حملات فراتر از ایران است. منشا حملات در دست بررسی است. تا کنون بیش از ۹۵ درصد مسیریابهای متاثر از حمله به حالت عادی بازگشتند و سرویس دهی را از سر گرفتند.
منبع: نماینده
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت namayande.com دریافت کردهاست، لذا منبع این خبر، وبسایت «نماینده» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۷۹۵۶۶۵۲ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
اتهامزنی آمریکا به ما درباره حمله سایبری به اروپا دروغ است
به گزارش خبرگزاری مهر به نقل از اسپوتنیک، «آناتولی آنتونوف» سفیر روسیه در آمریکا، امروز شنبه در اظهاراتی ادعاهای وزارت امور خارجه آمریکا درباره دستداشتن سرویسهای اطلاعاتی روسیه در حملههای سایبری علیه اروپا را دروغی تحریکآمیز دانست.
آنتونوف اعلام کرد: ما ایندست اظهارات را مثالی دیگر برای دیپلماسی بلندگوها و دلیلی برای تمایل توصیفناپذیر واشنگتن برای گرفتن انگشت اتهام ارتکاب اشتباههای مرگبار به سوی روسیه میدانیم.
سفیر روسیه در آمریکا گفت: ما بارها و بارها به آمریکاییها گفتهایم که اگر شکی دارند باید آن را از طریق کانالهای رسمی، به همراه ارایه حقایق مشخص و دلایل ملموس منتقل کنند.
آنتونوف تصریح کرد: مقامهای آمریکایی، به آسانی، هیچ دلیلی برای اثبات نکات اعلامی (ادعاهای) خود ندارند. روشن است که این داستانهای دروغین و تحریکآمیز، همچون سالهای گذشته، با نزدیکشدن به انتخابات ریاست جمهوری آمریکا افزایش خواهند یافت.
سفیر روسیه در واشنگتن تاکید کرد: تبلیغات دروغین و نپذیرفتن آشکار برگزاری گفتوگوهای حرفهای امنیت اطلاعات بینالمللی را کاهش میدهد.
کد خبر 6096128