روزنامه جهان صنعت
1397/01/19
روزآمد نبودن نرم افزار دردسرساز شد؛
شب 17 فروردینماه به دلیل نقص امنیتی سوییچهای سیسکو، ۱۶۸ هزار رایانه در جهان مورد حمله قرار گرفتند. این حمله سایبری به دیتاسنترهای داخلی ایران نیز رسوخ کرده است.از حدود ساعت ۲۱، بخش وسیعی از زیرساختهای اینترنت ایران از دسترس خارج شد؛ مشکلی که طبق گفته وزیر ارتباطات فراتر از ایران بود.
چندین دیتاسنتر ایرانی زیر بار حمله سایبری قرار گرفتند؛ حملهای که علت آن آسیبپذیری روترهای سیسکو عنوان شده.
چندین شرکت ایرانی از جمله ارتباطات زیرساخت، پارسآنلاین، شاتل، افرانت، وب سایت مرکز ماهر، صبانت و رسپینا، همچنین برخی از خبرگزاریها مانند باشگاه خبرنگاران جوان دچار اختلال شده بودند که به حالت عادی برگشتهاند. این آسیبپذیری به دلیل وجود یک نقص در قابلیت «SmarInstal- Client» تجهیزات سری 3x و 4x شرکت سیسکو به وجود آمده و باعث شده تا مهاجمان بتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر سوییچها اقدام کرده و مانع خدماتدهی این تجهیزات شوند. وزارت ارتباطات و فناوری اطلاعات نیز این حمله را تایید کرد اما به گفته محمدجواد آذریجهرمی هسته اصلی شبکه ملی در امان ماند و بر اساس خبرهای اعلام شده از سوی پلیس فتا هیچ نشت اطلاعاتی در اثر این حمله انجام نشده است.
به عقیده بسیاری از کارشناسان فناوری، شرکت سیسکو در 8 و 9 فروردینماه جاری (28 و 29 مارس)، اعلام کرده بود که در صورت بهروزرسانی نشدن تجهیزات، 5/8 میلیون روتر در معرض آسیبپذیری قرار دارند.
وزارت ارتباطات حمله سایبری را تایید کرد
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای درباره حمله به سرویسهای مراکز داده داخلی و بروز اختلال سراسری در سرویس اینترنت، اطلاعیهای صادر کرد.
به گزارش خبرگزاری مهر، در شب 17 فروردین ماه برخی از مراکز داده کشور با حمله سایبری مواجه شدهاند؛ این موضوع از سوی وزیر ارتباطات تایید شد.
در این زمینه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (مرکز ماهر) با تشریح جزییات این حمله سایبری اعلام کرد: در پی بروز اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی در ساعت حدود ۲۰:۱۵ جمعه ۱۷ فروردین ماه جاری، بررسی و رسیدگی فنی به موضوع انجام شد.
طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوییچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندیهای این تجهیزات شامل
running-config و startup-config حذف شده است. در موارد بررسی شده پیغامی با این مضمون در قالب startup-config مشاهده شد.
دلیل اصلی این مشکل، وجود حفره امنیتی در ویژگی smarinstal- clie- تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیبپذیری مذکور قرار داشته و مهاجمان میتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/ سوییچ اقدام کنند.
در این راستا لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده واقع نمیشود) روی سوییچها و روترهای خود اقدام کنند؛ همچنین بستن پورت ۴۷۸۶ در لبه شبکه نیز از دیگر اقدامات ضروری بهشمار میرود. در صورت نیاز به استفاده از ویژگی smarinstall، نیز لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو انجام شود.
به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده از سوی اکسپلویت این آسیبپذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویسدهندههای عمده اینترنت کشور مسدود شد. روز گذشته سرویسدهی شرکتها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
همچنین با آغاز ساعت کاری در روز گذشته سازمانها، ادارات و شرکتها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شدند.
هسته شبکه ملی در امان ماند
وزیر ارتباطات و فناوری اطلاعات پس از جلسه اضطراری بررسی حمله سایبری در شب 17 فروردین ماه جاری، گفت: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت از این حمله در امان ماند.
محمدجواد آذریجهرمی در توئیتی در شبکه اجتماعی توئیتر نوشت: لحظاتی پیش، جلسه اضطراری بررسی حمله 17 فروردین ماه خاتمه یافت و تا ساعاتی دیگر بیانیه رسمی نتایج از سوی روابطعمومی وزارت ارتباطات منتشر خواهد شد.
وی تاکید کرد: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بودهاند.
آذریجهرمی در شبکه اجتماعی توئیتر نوشت: حدود ۳۵۰۰ مسیریاب از مجموع چند صد هزار مسیریاب شبکه کشور متاثر از حمله شدهاند.
به گفته وی عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی، مناسب ارزیابی شده است.
وزیر ارتباطات بیان کرد: ضعف در اطلاعرسانی مرکز ماهر به شرکتها و نیز ضعف در پیکرهبندی مراکز داده (دیتاسنترها) وجود داشته است.
اختلال در شبکه اینترنت کشور
رییس مرکز تشخیص و پیشگیری پلیس فتای ناجا اعلام کرد که اختلال در سرویس اینترنت کشور صرفا قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعاتی درپی آن رخ نداده است.
به گزارش ایلنا، سرهنگ علی نیکنفس با اشاره به اختلال رخ داده در سرویس اینترنت کشور گفت: بررسیهای اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشاندهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت بوده است و این حمله سایبری ناشی از آسیبپذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوییچهای مورد استفاده در سرویسدهندههای اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب میشوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکهها را در پی داشته است.
وی افزود: حدود یکسال قبل نیز شرکت مورد نظر هشداری مبنی بر جستوجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور (smarinstal- client) روی آنها فعال است را منتشر کرده بود. به گفته سرهنگ نیکنفس، چنانچه قبلا نیز مکررا تاکید شده است مسوولان فناوری اطلاعات سازمانها و شرکتها باید بهطور مستمر رصد و شناسایی آسیبپذیریهای جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.
رییس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه هکرها میتوانند با سوءاستفاده از آسیبپذیری شناسایی شده نسبت به حذف و تغییر پیکربندی سوییچها و روترهای سیسکو و کار انداختن خدمات آنها اقدام کنند و همچنین قابلیت اجرای کد از راه دور بر روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه میشود مدیران شبکه سازمانها و شرکتها با استفاده از دستور «show vstack» به بررسی وضعیت فعال بودن قابلیت smarinstal- clienاقدام و با استفاده از دستور «no vstack» آن را غیرفعال کنند.
وی ادامه داد: به علاوه با توجه به اینکه حمله مزبور روی پورت 4786TCP انجام شده است لذا بستن ورودی پورت مزبور روی فایروالهای شبکه نیز توصیه میشود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است به روز رسانی به آخرین نسخههای پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.
براساس اعلام مرکز اطلاع رسانی فتا، نیکنفس با اشاره به اینکه قابلیت آسیبپذیری smarinstal- clienنیز با اجرای دستور «no vstack» غیر فعال شود، تاکید کرد: لازم است این تنظیم روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام شود. توصیه میشود در روتر لبه شبکه با استفاده ازفهرست کنترل دسترسی (ACL) ترافیک ورودی 4786 TCP نیز مسدود شود.
رییس مرکز تشخیص و پیشگیری پلیس فتای ناجا گفت: مجددا تاکید میشود که مسوولان فناوری اطلاعات، سازمانها و شرکتها باید نسبت به بررسی مستمر آخرین آسیبپذیریهای سامانهها و ابزارها اقدام و نسبت به بروز رسانی و رفع نواقص احتمالی در اسرع وقت اقدام کنند.
به روز نبودن نرم افزارهای امنیتی
در ساعات پایانی ۱۷ فروردین، چندین دیتاسنتر ایرانی زیر بار حمله سایبری قرار گرفتند؛ حملهای که «مرکز ماهر» علت آن را آسیبپذیری روترهای سیسکو عنوان کرده است.
به گزارش دیجیاتو، چندین شرکت ایرانی از جمله ارتباطات زیرساخت، پارسآنلاین، شاتل، افرانت، صبانت و رسپینا دچار اختلال شده بودند و در حال حاضر بیشتر آنها به حالت عادی برگشتهاند. مرکز ماهر خبر میدهد که این آسیبپذیری به دلیل وجود یک نقص در قابلیت «SmarInstal- Client» تجهیزات سری 3x و 4x شرکت سیسکو به وجود آمده و باعث شده تا مهاجمان بتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر سوئیچها اقدام کرده و مانع خدماتدهی این تجهیزات شوند.
نکته قابل توجه این است که سایت خود مرکز ماهر هم به دلیل این مشکل در روترهای سیسکو، برای ساعاتی از دسترس خارج شده بود. این مرکز گزارش میدهد که آغاز حملات از ساعت ۲۰:۱۵ روز ۱۷ فروردین بوده است و پیکربندی روترهای سیسکو را هدف قرار داد.
بر اساس گزارش مرکز ماهر و همچنین توئیت وزیر ارتباطات، به جای تنظیمات روترهای سیسکو، پرچم ایالات متحده در بخش تنظیمات قرار گرفته است و این حمله محدود به کشور ایران نبوده است، هرچند هنوز گزارش کاملی از ابعاد آن در سطح جهانی منتشر نشده است.
پیش از این شرکت سیسکو خبر از آسیبپذیری داده بود. این شرکت با ارائه آپدیتی برای روترهای خود که ۲۸ مارس (۸ فروردین) منتشر شده بود این مشکل را حل کرده بود اما شرکتهای ایرانی این آپدیت را نصب نکرده بودند. این در حالی است که سیسکو ۲۹ مارس خبر داده بود که در صورت به روزرسانی نشدن تجهیزات، 5/8 میلیون روتر در معرض آسیبپذیری قرار دارند.
اما مدیر و کارشناس فنی یکی از شرکتهایی که تحت تاثیر همین حمله قرار گرفته بود، عنوان میکند که شرکتها نمیتوانند به سرعت تمام آپدیتهایی که برای اینگونه تجهیزات ارائه میشود را نصب کنند. تعداد به روزرسانیهایی که برای اینگونه تجهیزات دریافت میکنیم زیاد است. برای تجهیزاتی که استفاده میکنیم، روزانه بین ۳۰۰ تا ۵۰۰ به روز رسانی دریافت میکنیم. شرکتهای بزرگ نمیتوانند به محض دریافت بهروزرسانی، آن را نصب کنند، چراکه خود بهروزرسانی هم باعث اختلال میشود. از طرفی پیش از نصب، حتما باید بهروزرسانیها را در فضای آزمایشگاهی نصب کنیم و مطمئن شویم که مشکلی وجود ندارد، سپس میتوانیم آن را وارد سیستم کنیم. به روزرسانی سریع با فاصله کوتاه ممکن نیست چراکه گاهی ریسک بعضی از به روز رسانیها از خود آسیبپذیریها بالاتر بوده و این تجربه بارها برای ما تکرار شده است. حمله به دیتاسنترها باعث شده تا کسبوکارهای مختلف و بزرگی برای چند ساعت از دسترس خارج شوند. خود دیتاسنترها با برگرداندن backup و ارتقای تجهیزات سیسکو مشکل را حل کردهاند اما در این میان تجهیزات برخی از کسبوکارها نیز دچار اختلال شده است. همچنین برخی از کسبوکارهای ایرانی از سرویسهای CDN استفاده کردهاند که همین موضوع باعث شده زمان بیشتری صرف بازگشت آنها شود.
تیم امنیتی Cisco Talosدر بلاگ خود مینویسد این حمله که از روز ۵ آوریل (۱۶ فروردین) آغاز شده، در سراسر جهان حدود ۱۶۸ هزار سیستم را تحت تاثیر قرار داده است هرچند این آمار برای قبل از حمله به ایران است. این تیم گزارش میدهد که در سال ۲۰۱۶، حمله مشابهی به «Cisco SmarInstal- Clients» انجام شده بود که در آن زمان، ۲۵۱ سیستم را تحت تاثیر قرار داد.
پربازدیدترینهای روزنامه ها
پس از انتشار تصاویر ماهواره ای از میزان خسارت ها به پایگاه نواتیم، دیروز نیز تصاویر ماهوارهای پایگاه رامون ارتش صهیونیستی منتشر شد که نشان می دهد علاوه بر آشیانه ها، مراکز تجهیزات نظامی نیز توسط موشک های بالستیک ایران هدف قرار گرفته است (خراسان) امیر واحدی: اینبار با بمبافکن su ۲۴ پاسخ ویرانگر میدهیم / سردار حاجیزاده: صد در صد میزنیم (جوان) جنگ رسانهای در فضای موشکی (کيهان) پیام صریح ایران به جنگطلبان صهیونیست (تجارت)
سایر اخبار این روزنامه
رییس سازمان میراث فرهنگی، گردشگری و صنایع دستی؛
آسیب شناسی سوادآموزی در کشور؛
محصورین برانداز نیستند
ارز و طلا خیال آرام گرفتن ندارند
بهرام زند درگذشت؛
ترامپ علیه یاران پوتین
توزیع روزانه 100 میلیون لیتر سوخت در ایام نوروز؛
رابطه خروج دود از قله دماوند با زلزلههای پایتخت بررسی شد
تلگرام دختران ایرانی را send میکند!
مسابقه جایزهدار!
۳۳ درصد مردم در فقر مطلق
چگونگی بازگشت صنعت کفش به دوران طلایی زیر ذره بین«جهانصنعت» ؛
روز منفی بورس
کالای ایرانی به اندازه کالای خارجی مرغوب باشد؛
اصلاحطلبان و شورای شهر
پایان هفته بیست و هفتم لیگ برتر کشور؛
5 خبر خوش در ۷۰ سالگی سازمان بهداشت جهانی
تحقیق در مورد رشوهخواری در سفارتخانههای آلمان در تهران و بیروت
پاشنه آشیل
روزآمد نبودن نرم افزار دردسرساز شد؛