اگر شب گذشته برخی از وب سایت و خدمات داخلی برای شما کار نمی کرد، باید بگوییم شما تنها نیستید. یک نقص امنیتی خطرناک در سوییچ‌های شبکه «سیسکو» (Cisco) به هکرها این امکان را داد تا برخی زیرساخت‌های حیاتی در برخی کشورها از جمله ایران را مختل کنند. در نتیجه این حملات برخی از وب سایت‌ها و سرویس‌های داخلی با اختلال مواجه شدند که وزیر ارتباطات نیز آن را تأیید کرد.

گزارش‌های تأیید شده نشان می‌دهد هکرها یک نقص امنیتی در پروتکل ارتباطی مورد استفاده در قابلیت Smart Install Client سوییچ‌های سیسکو را هدف گرفته‌اند که مدتی پیش وجود آن علنی شده بود اما حالا مشخص شده کمتر کسی آن را جدی گرفته است. در صورتی که Smart Install Client در سوییچ‌های سیسکو فعال باشد، در پس زمینه منتظر دریافت فرمان است که حالا هکرها توانسته‌اند از طریق اینترنت کنترل آن را به دست بگیرند. Smart Install Client یک ابزار برای گسترش سریع سوییچ‌های سیسکو است که می‌بایست فقط از طریق شبکه محلی در دسترس باشد اما هکرها توانسته‌اند از طریق اینترنت کنترل آن را به دست بگیرند.

برخی از وب سایت هایی که بر اثر حملات مختل شدند

پژوهشگران با اسکن کردن اینترنت بیش 168,000 سیستم آسیب پذیر در سراسر دنیا را شناسایی کرده‌اند اما یک گزارش که به سال 2016 بر می‌گردد، تعداد آن را 251,000 تخمین زده است. طبق گزارش هایی که شهرسخت افزار مستقلاً قادر به تایید آنها نیست، شب گذشته وب سایت های میزبانی شده توسط «افرانت، رسپینا، شاتل، آسیاتک، ارتباطات زیر ساخت، پارس آنلاین و صبا نت» بر اثر این حملات از دسترس خارج شدند.

سیسکو تأیید کرده است از ماه نوامبر 2017 میلادی شاهد رشد عظیم ترافیک بر روی درگاه TCP 4786 بوده که در آوریل 2018 به اوج رسیده است. رشد غیر معمول ترافیک می‌تواند به علت اسکن اینترنت برای یافتن سیستم‌های آسیب پذیر یا اجرای حملات باشد.
وزیر ارتباطات کشورمان، آقای جهرمی نقش فعالی در اطلاع رسانی در خصوص این واقعه داشت و از همان ساعات اولیه تأثیر پذیری برخی دیتا سنترها و زیرساخت‌ها را تأیید کرد.

بعدتر آقای جهرمی تصویری منتشر کرد که ترسیم پرچم ایالات متحده و ارتباط حملات با انتخابات رئیس جمهوری سال گذشته آمریکا را نشان می‌دهد.

در نهایت وزیر ارتباطات خبر از بازگشت بیش از 95 درصد مسیریاب‌های متأثر از حملات به حالت عادی و از سر گرفته شدن سرویس دهی داد.

اما اگر یک مدیر شبکه بخواهد از وضعیت Smart Install Client با خبر شود، کافی است فرمان vstack config را اجرا کند، نمونه آن را در زیر مشاهده می‌کنید:

switch#show vstack config | inc Role

Role: Client (SmartInstall enabled)

لازم به ذکر است بررسی کردن گزارش وقایع از اهمیت بالایی در شناسایی حملات احتمالی برخوردار است. آسان‌ترین راه برای غیر فعال کردن این قابلیت اجرای فرمان no vstack است. در صورتی هم که این امکان وجود نداشته باشد، محدود کردن دسترسی به رابط آن از طریق ACL می‌تواند کارساز باشد. نمونه آن را در زیر مشاهده می‌کنید:

ip access-list extended SMI_HARDENING_LIST

permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786

deny tcp any any eq 4786

permit ip any any

اما برخی کارشناسان امنیتی نیز توصیه کرده‌اند تا پایان حملات سوییچ‌های غیر ضروری یا غیر فعال از شبکه خارج شوند. سیسکو خود این آسیب پذیری را در ماه فوریه 2017 گزارش کرده بوده و بعدتر نسخه تازه‌ای از Smart Install Client منتشر شد اما حالا مشخص شده کمتری کسی آن را جدی گرفته است.

پژوهشگران می گویند این حملات توسط یک دولت سازمان دهی و اجرا شده است که انگشت اتهام به سوی روسیه نشانه رفته است. این حملات ضرورت غیر فعال کردن سرویس های غیر ضروری را نشان می دهد.

بیانیه وزارت ارتباطات

«با توجه به وقوع جمله سایبری شب گذشته موارد ذیل جهت تنویر افکار عمومی اعلام می گردد.
به گزارش مرکز مرکز روابط عمومی و اطلاع رسانی وزارت ارتباطات و فناوری اطلاعات، با توجه به وقوع جمله سایبری شب گذشته موارد ذیل جهت تنویر افکار عمومی اعلام می گردد.
1- جمعه هفدهم فروردین ماه حدود ساعت 21 برخی از سرویس های میزبانی شده در مراکز داده داخل کشور از دسترس خارج شدند.
2- پس از اطلاع، تیم اقدام سریع تشکیل و موضوع به سرعت بررسی و مشخص گردید حمله سایبری به برخی از روترسوئیچ ها کم ظرفیت سیسکو که آسیب پذیر بوده اند صورت گرفته و این روترها به حالت تنظیم کارخانه ای بازگشته اند.
3- حمله مذکور ظاهراً به بیش از 200 هزار روتر سوئیچ در کل دنیا صورت گرفته و حمله ای گسترده بوده است، در کشور ما حدود 3500 روتر سوئیج مور حمله واقع شده که 550 فقره در تهران، 170 فقره استان سمنان، 88 فقره استان اصفهان بوده و بیشترین آسیب پذیری از نقطه تعداد در شرکتهای رسپینا، ایزایران و شاتل رخ داده است، لیکن اختلال تعداد کمی روتر در برخی مراکز سرویس های پرکاربردی را از دسترس خارج کرد.
4- با تشکیل گروههای واکنش سریع و تلاش همه متخصصان و فعالان همه شرکتها به سرعت اقدمات اجرایی آغاز گردید و با توجه به اینکه برای فعالیت مجدد روترها نیاز به حضور فیزیکی کارشناسان بود با اقدام به موقع تاساعت 12 شب بیش از 95 درصد شبکه به حالت اولیه برگشت.
5- خوشبختانه با توجه به پیش بنیی های لازم در زیرساخت ارتباطی کشور شبکه زیرساخت دچار هیچ اختلالی نشد و کمترین اختلال نیز در سه اپراتور تلفن همراه مراکز داده شرکت های پارس آنلاین و تبیان گزارش گردید.
6- در خصوص منشا حمله از طریق مراکز بین المللی پیگیری لازم صورت خواهد گرفت لیکن با توجه به اینکه در این حمله از پرچم کشور آمریکا و شعاری در خصوص عدم دخالت در انتخابات این کشور استفاده شده و همچنین زمان وقوع حمله که جمعه شب بوده است به نظر می رسد منشاء حمله از منطقه خاورمیانه نبوده است.
7- شرکت سیسکو 10 روز پیش موضوع آسیب پذیری روتر سوئیچ های مذکور را اعلام کرده بود لیکن به دلیل اینکه بسیاری از شرکت های خصوصی در ایام تعطیلات تغییر تنظیمات شبکه خود را  در حالت فریز نگه داری می کنند و همچنین عدم اطلاع رسانی تاکیدی مرکز ماهر و عدم هشدار به این شرکتها برای بروز رسانی تنظیمات شبکه خود منجر به آسیب پذیری شبکه این شرکتها گردید.
8- براساس اعلام مرکزماهر، مرکز آپای دانشگاه همدان پیش از وقوع حمله موضوع را در دست تحلیل و پایش داشته و منتظر تکمیل پایش تجهیزات کشور بوده که متاسفانه قبل از تکمیل گزارش نهایی حمله مذکور اتفاق افتاد.
9- آنچه مشخص است در این حمله ظاهراً سازمان یافته علیرغم وجود نقاط مثبتی همچون واکنش سریع، عدم تاثیر پذیری هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت، عدم اختلال جدی شبکه سه اپراتور تلفن همراه و برخی از FCPها، متاسفانه ضعف اطلاع رسانی به موقع توسط مرکز ماهر و عدم وجود پیکره بندی مناسب در مراکز داده و سرویس دهندگان فناوری اطلاعات مستقر در این مراکز داده باعث تشدید عوارض این حمله گردید بر همین اساس اصلاحات لازم در  مجموعه های مرتبط و نیز تذکرات لازم به بخش خصوصی اجرایی خواهد شد.»

نظر خود را اضافه کنید.

ارسال نظر بدون عضویت در سایت

0

نظرات (6)

  • مهمان - myy

    خدای دوم امریکا

  • فکر کنم از قدیمی بودن و در نتیجه ضعیف بودن سیسکو ها باشه که انقدر راحت هک میشن . اگه چند تا سیسکو جدید وارد کنن خیلی خوبه . البته اگه تحریم بزاره :)

  • در پاسخ به: BoOsTeR

    چرا همه چی رو به همه چی ربط می دین!!
    امنیت مبحث نسبی هست و هیچ سازمان نمی تونه امنیتش رو 100 درصد تضمین کنه حتی کمپانی ها بزرگ دنیا که از آخرین تکنولوژی ها موجود استفاده می کنن هم در امان نیستند مگه ناسا هک نشده مگه گوگل، یاهو و فیسبوک تا حالا هک نشدن !؟ تو مبحث امنیت میشه رنجیره امنیت رو محکم کرد ولی امنیت کامل هیچ وقت نبوده و نخواهد بود ...
    اکثر سرویس دهنده های ایران از تجهیزات چند سال قبل شرکت سیسکو استفاده می کنن و دارن کل ترافیک کشور رو به خوبی هندل می کنن اگه دانش شبکه داشته باشین متوجه می شین که اتفاقا تجهیزات سیسکو از دستگاه های باقدرت و بی دردسر دنیا هستند و به جدید و قدیم بودنش خیلی ربط نداره. اگه به سرویس دهنده های برید می بینید مثلا یه دستگاهی تولیدش مربوط به 10 سال پیش هست وقتی به مدت روشن بودن دستگاه نگاه کنید می بینید 8 سال بدون وقفه داره کار می کنه بدون اینکه حتی یک لحظه ای خاموش بشه!
    سیسکو چند هفته قبل تو لیستی از تجهیزاتی که باید آپدیت می شدند مشخصا تجهیزاتی که قابلیت Smart install رو ساپورت می کردند آورده بود حتی برای تجهیزات نسبتا قدیمی این آپدیت رو ارائه کرده بود، قدیمی بودن تجهیزات هیچ ارتباطی به اهمال کاری افرادی که باید وظیفه شون رو انجام بدن نیست وقتی یک آپدیتی که بصورت بحرانی عرضه می شه و اجباری هست آپدیت صورت بگیره و سازمان ها در این قضیه تعلل دارند دلیل بر ضعیف بودن سیسکو یا کمپانی های دیگر نمی تونه باشه ...

  • در پاسخ به: Mohammad

    با حرفت کاملا موافقم:cool:)

  • ماشالله دفاع سایبریمون قویه ! :cool

  • مهمان - reza

    اتفاقا دیشب میخواستم آپدیت بدم بازار دیدم بالا نمیاد دی مجبور شدم امروز بدم اما یکم کند میزنه:(

ورود به شهرسخت‌افزار

ثبت نام در شهر سخت افزار
ورود به شهر سخت افزار

ثبت نام در شهر سخت افزار

نام و نام خانوادگی(*)
لطفا نام خود را وارد کنید

ایمیل(*)
لطفا ایمیل خود را به درستی وارد کنید

رمز عبور(*)
لطفا رمز عبور خود را وارد کنید

شماره موبایل
Invalid Input

جزو کدام دسته از اشخاص هستید؟(*)

لطفا یکی از موارد را انتخاب کنید