حمله گسترده به زیرساخت سایبری ایران

 

به گزارش اتاق سرور دات کام به نقل از آخرین خبر، سرویس‌ها و وبسایت‌های مهمی در ایران به دلیل مشکلات سایبری به وجود آمده در دیتاسنترهای افرانت، شاتل، صبانت و… از دسترس خارج شده‌اند.
این خبر که گمانه زنی حمله سایبری درباره آن مطرح بود، بلافاصله پس از انتشار، طی اطلاع‌رسانی وزیر ارتباطات در شبکه اجتماعی توییتر تایید شد.
محمد جواد آذری جهرمی، وزیر ارتباطات ایران شامگاه جمعه ۱۷ فروردین گفته است، به برخی از مراکز داده کشور حمله سایبری شده است. به گفته وی دامنه حملات فراتر از ایران است و منشاء حملات در دست بررسی است.

محمد جواد آذری جهرمی در توییتر خود نوشته است: امشب برخی از مراکز داده کشور با حمله سایبری مواجه شده‌اند. تعدادی از مسیریابهای کوچک به تنظیمات کارخانه‌ای تغییر یافته‌اند.
وزیر ارتباطات ایران اضافه کرده است: «مرکز ماهر به یاری این مراکز داده،حمله را کنترل و در حال اصلاح شبکه‌های آنان به حالت طبیعی هستند. تلاشها برای ناامن جلوه دادن‌ها یک فرصت برای اصلاح اشکال هاست.»
وی در ادامه گفته است: «بررسی های اولیه حاکی از آن است که در تنظیمان مسیریابهای مورد حمله قرار گرفته با حک پرچم ایالات متحده اعتراضی درباره انتخاب امریکا صورت گرفته است.»
متن توییت آذری جهرمی، وزیر ارتباطات از این قرار است: "امشب برخی از مراکز داده کشور با حمله سایبری مواجه شده‌اند. مرکز ماهر به یاری این مراکز داده، حمله را کنترل و در حال اصلاح شبکه‌های آنان هستند. تلاش ها برای ناامن جلوه دادن ها یک فرصت برای اصلاح اشکال هاست."
بررسیهای اولیه حاکی از آن است که در تنظیمات مسیریابهای مورد حمله قرار گرفته، با حک پرچم ایالت متحده، اعتراضی درباره انتخابات آمریکا صورت گرفته است. دامنه حملات فراتر از ایران است. منشا حملات در دست بررسی است .

در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مذمون در غالب startup-config مشاهده گردید:

دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند. لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:  در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید. تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.

 

این مورد را ارزیابی کنید
(0 رای‌ها)
  • آخرین ویرایش در شنبه, 22 ارديبهشت 1397 ساعت 12:20
  • اندازه قلم

درباره ی نوآوران

گروه نوآوران حفاظت با بیش از ده سال سابقه ی اعضای هیات مدیره در حوزه امنیت و ایمنی، در سال ۹۲ فعالیت رسمی خود را با انتشار نشریه "نوآوران" آغاز نمود. در ابتدا، این نشریه به صورت آگهی نامه و پس از مدتی با اخذ مجوز از وزارت ارشاد، بصورت نشریه به فعالیت خود ادامه داد.

حاصل ۴ سال تلاش این مجموعه:
- حضور در نمایشگاههای مختلف اعم از: ۴ دوره نمایشگاه ایپاس( حفاظتی امنیتی پلیس )، ۳ دوره نمایشگاه اصفهان، نمایشگاه مشهد، اینترسک دبی، نمایشگاه قائمشهر و ...
- حضور و پوشش خبری دهها سمینار، دوره آموزشی و کنفرانسهای خبری مختلف
- انتشار ویژه نامه "رستاک" جهت توزیع در نمایشگاهها
- چاپ و انتشار دو دوره روزنامه رسمی نمایشگاه ایپاس( حفاظتی امنیتی پلیس )