روزنامه جهان صنعت

روزآمد نبودن نرم افزار دردسرساز شد؛

شب 17 فروردین‌ماه به دلیل نقص امنیتی سوییچ‌های سیسکو، ۱۶۸ هزار رایانه در جهان مورد حمله قرار گرفتند‌‌. این حمله سایبری به دیتاسنترهای داخلی ایران نیز رسوخ کرده است‌.
از حدود ساعت ۲۱، بخش وسیعی از زیرساخت‌های اینترنت ایران از دسترس خارج شد؛ مشکلی که طبق گفته وزیر ارتباطات فراتر از ایران بود‌‌.
چندین دیتاسنتر ایرانی زیر بار حمله سایبری قرار گرفتند؛ حمله‌ای که علت آن آسیب‌پذیری روترهای سیسکو عنوان شده‌.
چندین شرکت ایرانی از جمله ارتباطات زیرساخت، پارس‌آنلاین، شاتل، افرانت، وب سایت مرکز ماهر، صبانت و رسپینا، همچنین برخی از خبرگزاری‌ها مانند باشگاه خبرنگاران جوان دچار اختلال شده بودند که به حالت عادی برگشته‌اند‌‌. این آسیب‌پذیری به دلیل وجود یک نقص در قابلیت «SmarInstal- Client» تجهیزات سری 3x و 4x شرکت سیسکو به وجود آمده و باعث شده تا مهاجمان بتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر سوییچ‌ها اقدام کرده و مانع خدمات‌دهی این تجهیزات شوند‌‌. وزارت ارتباطات و فناوری اطلاعات نیز این حمله را تایید کرد اما به گفته محمدجواد آذری‌جهرمی هسته اصلی شبکه ملی در امان ماند و بر اساس خبرهای اعلام شده از سوی پلیس فتا هیچ نشت اطلاعاتی در اثر این حمله انجام نشده است‌‌.


به عقیده بسیاری از کارشناسان فناوری، شرکت سیسکو در 8 و 9 فروردین‌ماه جاری (28 و 29 مارس)، اعلام کرده بود که در صورت به‌روزرسانی نشدن تجهیزات، 5/8 میلیون روتر در معرض آسیب‌پذیری قرار دارند‌‌.
وزارت ارتباطات حمله سایبری را تایید کرد
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای درباره حمله به سرویس‌های مراکز داده داخلی و بروز اختلال سراسری در سرویس اینترنت، اطلاعیه‌ای صادر کرد‌.
به گزارش خبرگزاری مهر، در شب 17 فروردین ماه برخی از مراکز داده کشور با حمله سایبری مواجه شده‌اند؛ این موضوع از سوی وزیر ارتباطات تایید شد‌.
در این زمینه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (مرکز ماهر) با تشریح جزییات این حمله سایبری اعلام کرد: در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی در ساعت حدود ۲۰:۱۵ جمعه ۱۷ فروردین ماه جاری، بررسی و رسیدگی فنی به موضوع انجام شد‌.
طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوییچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های این تجهیزات شامل
running-config و startup-config حذف شده است‌‌. در موارد بررسی شده پیغامی با این مضمون در قالب startup-config مشاهده شد‌.
دلیل اصلی این مشکل، وجود حفره امنیتی در ویژگی smarinstal- clie- تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیب‌پذیری مذکور قرار داشته و مهاجمان می‌توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/ سوییچ اقدام کنند‌.
در این راستا لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده واقع نمی‌شود) روی سوییچ‌ها و روترهای خود اقدام کنند؛ همچنین بستن پورت ۴۷۸۶ در لبه‌ شبکه نیز از دیگر اقدامات ضروری به‌شمار می‌رود‌‌. در صورت نیاز به استفاده از ویژگی smarinstall، نیز لازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو انجام شود‌.
به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده از سوی اکسپلویت این آسیب‌پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس‌‌دهنده‌های عمده اینترنت کشور مسدود شد‌. روز گذشته سرویس‌دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است‌.
همچنین با آغاز ساعت کاری در روز گذشته سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شدند‌.
هسته شبکه ملی در امان ماند
وزیر ارتباطات و فناوری اطلاعات پس از جلسه اضطراری بررسی حمله سایبری در شب 17 فروردین ماه جاری، گفت: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت از این حمله در امان ماند‌.
محمدجواد آذری‌جهرمی در توئیتی در شبکه اجتماعی توئیتر نوشت: لحظاتی پیش، جلسه اضطراری بررسی حمله 17 فروردین ماه خاتمه یافت و تا ساعاتی دیگر بیانیه رسمی نتایج از سوی روابط‌عمومی وزارت ارتباطات منتشر خواهد شد‌.
وی تاکید کرد: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بوده‌اند‌.
آذری‌جهرمی در شبکه اجتماعی توئیتر نوشت: حدود ۳۵۰۰ مسیریاب از مجموع چند صد هزار مسیریاب شبکه کشور متاثر از حمله شده‌اند‌.
به گفته وی عملکرد شرکت‌ها در دفع حمله و بازگردانی به شرایط عادی، مناسب ارزیابی شده است‌.
وزیر ارتباطات بیان کرد: ضعف در اطلاع‌رسانی مرکز ماهر به شرکت‌ها و نیز ضعف در پیکره‌بندی مراکز داده (دیتاسنترها) وجود داشته است‌.
اختلال در شبکه اینترنت کشور
رییس مرکز تشخیص و پیشگیری پلیس فتای ناجا اعلام کرد که اختلال در سرویس اینترنت کشور صرفا قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعاتی درپی آن رخ نداده است‌.
به گزارش ایلنا، سرهنگ علی نیک‌نفس با اشاره به اختلال رخ داده در سرویس اینترنت کشور گفت: بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان‌دهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت بوده است و این حمله سایبری ناشی از آسیب‌پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوییچ‌های مورد استفاده در سرویس‌دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه‌ها را در پی داشته است‌.
وی افزود: حدود یک‌سال قبل نیز شرکت مورد نظر هشداری مبنی بر جست‌وجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور (smarinstal- client) روی آنها فعال است را منتشر کرده بود‌. به گفته سرهنگ نیک‌نفس، چنانچه قبلا نیز مکررا تاکید شده است مسوولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید به‌طور مستمر رصد و شناسایی آسیب‌پذیری‌های جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود‌.
رییس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه هکرها می‌توانند با سوءاستفاده از آسیب‌پذیری شناسایی شده نسبت به حذف و تغییر پیکربندی سوییچ‌ها و روترهای سیسکو و کار انداختن خدمات آنها اقدام کنند و همچنین قابلیت اجرای کد از راه دور بر روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه می‌شود مدیران شبکه سازمان‌ها و شرکت‌ها با استفاده از دستور «show vstack» به بررسی وضعیت فعال بودن قابلیت smarinstal- clienاقدام و با استفاده از دستور «no vstack» آن‌ را غیرفعال کنند‌.
وی ادامه داد: به علاوه با توجه به اینکه حمله مزبور روی پورت 4786TCP انجام شده است لذا بستن ورودی پورت مزبور روی فایروال‌های شبکه نیز توصیه می‌شود‌‌. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است به روز رسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود‌.
براساس اعلام مرکز اطلاع رسانی فتا، نیک‌نفس با اشاره به اینکه قابلیت آسیب‌پذیری smarinstal- clienنیز با اجرای دستور «no vstack» غیر فعال شود، تاکید کرد: لازم است این تنظیم روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام شود‌‌. توصیه می‌شود در روتر لبه شبکه با استفاده ازفهرست کنترل دسترسی (ACL) ترافیک ورودی 4786 TCP نیز مسدود شود‌.
رییس مرکز تشخیص و پیشگیری پلیس فتای ناجا گفت: مجددا تاکید می‌شود که مسوولان فناوری اطلاعات، سازمان‌ها و شرکت‌ها باید نسبت به بررسی مستمر آخرین آسیب‌پذیری‌های سامانه‎ها و ابزارها اقدام و نسبت به بروز رسانی و رفع نواقص احتمالی در اسرع وقت اقدام کنند‌.
به روز نبودن نرم افزارهای امنیتی
در ساعات پایانی ۱۷ فروردین، چندین دیتاسنتر ایرانی زیر بار حمله سایبری قرار گرفتند؛ حمله‌ای که «مرکز ماهر» علت آن را آسیب‌پذیری روترهای سیسکو عنوان کرده است‌.
به گزارش دیجیاتو، چندین شرکت ایرانی از جمله ارتباطات زیرساخت، پارس‌آنلاین، شاتل، افرانت، صبانت و رسپینا دچار اختلال شده بودند و در حال حاضر بیشتر آنها به حالت عادی برگشته‌اند‌‌. مرکز ماهر خبر می‌دهد که این آسیب‌پذیری به دلیل وجود یک نقص در قابلیت «SmarInstal- Client» تجهیزات سری 3x و 4x شرکت سیسکو به وجود آمده و باعث شده تا مهاجمان بتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر سوئیچ‌ها اقدام کرده و مانع خدمات‌دهی این تجهیزات شوند‌.
نکته قابل توجه این است که سایت خود مرکز ماهر هم به دلیل این مشکل در روترهای سیسکو، برای ساعاتی از دسترس خارج شده بود‌‌. این مرکز گزارش می‌دهد که آغاز حملات از ساعت ۲۰:۱۵ روز ۱۷ فروردین بوده است و پیکربندی روترهای سیسکو را هدف قرار داد‌.
بر اساس گزارش مرکز ماهر و همچنین توئیت وزیر ارتباطات، به جای تنظیمات روترهای سیسکو، پرچم ایالات متحده در بخش تنظیمات قرار گرفته است و این حمله محدود به کشور ایران نبوده است، هرچند هنوز گزارش کاملی از ابعاد آن در سطح جهانی منتشر نشده است‌.
پیش از این شرکت سیسکو خبر از آسیب‌پذیری داده بود‌‌. این شرکت با ارائه آپدیتی برای روترهای خود که ۲۸ مارس (۸ فروردین) منتشر شده بود این مشکل را حل کرده بود اما شرکت‌های ایرانی این آپدیت را نصب نکرده بودند‌‌. این در حالی است که سیسکو ۲۹ مارس خبر داده بود که در صورت به روزرسانی نشدن تجهیزات، 5/8 میلیون روتر در معرض آسیب‌پذیری قرار دارند‌.
اما مدیر و کارشناس فنی یکی از شرکت‌هایی که تحت تاثیر همین حمله قرار گرفته بود، عنوان می‌کند که شرکت‌ها نمی‌توانند به سرعت تمام آپدیت‌هایی که برای این‌گونه تجهیزات ارائه می‌شود را نصب کنند. تعداد به روزرسانی‌هایی که برای این‌گونه تجهیزات دریافت می‌کنیم زیاد است‌‌. برای تجهیزاتی که استفاده می‌کنیم، روزانه بین ۳۰۰ تا ۵۰۰ به روز رسانی دریافت می‌کنیم‌‌. شرکت‌های بزرگ نمی‌توانند به محض دریافت به‌روز‌رسانی، آن را نصب کنند، چراکه خود به‌روزرسانی هم باعث اختلال می‌شود‌‌. از طرفی پیش از نصب، حتما باید به‌روزرسانی‌ها را در فضای آزمایشگاهی نصب کنیم و مطمئن شویم که مشکلی وجود ندارد، سپس می‌توانیم آن را وارد سیستم کنیم‌‌. به روزرسانی سریع با فاصله کوتاه ممکن نیست چراکه گاهی ریسک بعضی از به روز رسانی‌ها از خود آسیب‌پذیری‌ها بالاتر بوده و این تجربه بارها برای ما تکرار شده است‌. حمله به دیتاسنترها باعث شده تا کسب‌وکارهای مختلف و بزرگی برای چند ساعت از دسترس خارج شوند‌‌. خود دیتاسنترها با برگرداندن backup و ارتقای تجهیزات سیسکو مشکل را حل کرده‌اند اما در این میان تجهیزات برخی از کسب‌وکارها نیز دچار اختلال شده است‌‌. همچنین برخی از کسب‌وکارهای ایرانی از سرویس‌های CDN استفاده کرده‌اند که همین موضوع باعث شده زمان بیشتری صرف بازگشت آنها شود‌.
تیم امنیتی Cisco Talosدر بلاگ خود می‌نویسد این حمله که از روز ۵ آوریل (۱۶ فروردین) آغاز شده، در سراسر جهان حدود ۱۶۸ هزار سیستم را تحت تاثیر قرار داده است هرچند این آمار برای قبل از حمله به ایران است‌‌. این تیم گزارش می‌دهد که در سال ۲۰۱۶، حمله مشابهی به «Cisco SmarInstal- Clients» انجام شده بود که در آن زمان، ۲۵۱ سیستم را تحت تاثیر قرار داد.
لینک منبع خبر
پربازدیدترین‌های روزنامه ها
پس از انتشار تصاویر ماهواره ای از میزان خسارت ها به پایگاه نواتیم، دیروز نیز تصاویر ماهواره‌ای پایگاه رامون ارتش صهیونیستی منتشر شد که نشان می دهد علاوه بر آشیانه ها، مراکز تجهیزات نظامی نیز توسط موشک های بالستیک ایران هدف قرار گرفته است (خراسان) امیر واحدی: این‌بار با بمب‌افکن su ۲۴ پاسخ ویرانگر می‌دهیم / سردار حاجی‌زاده: صد در صد می‌زنیم (جوان) جنگ رسانه‌ای در فضای موشکی (کيهان) پیام صریح ایران به جنگ‌طلبان صهیونیست (تجارت)
سایر اخبار این روزنامه
رییس سازمان میراث فرهنگی، گردشگری و صنایع دستی؛ آسیب شناسی سوادآموزی در کشور؛ محصورین برانداز نیستند ارز و طلا خیال آرام گرفتن ندارند بهرام زند درگذشت؛ ترامپ علیه یاران پوتین توزیع روزانه 100 میلیون لیتر سوخت در ایام نوروز؛ رابطه خروج دود از قله دماوند با زلزله‌های پایتخت بررسی شد تلگرام دختران ایرانی را send می‌کند! مسابقه جایزه‌دار! ۳۳ درصد مردم در فقر مطلق چگونگی بازگشت صنعت کفش به دوران طلایی زیر ذره بین«جهان‌صنعت» ؛ روز منفی بورس کالای ایرانی به اندازه کالای خارجی‌ مرغوب باشد؛ اصلاح‌طلبان و شورای شهر پایان هفته بیست و هفتم لیگ برتر کشور؛ 5 خبر خوش در ۷۰ سالگی سازمان بهداشت جهانی تحقیق در مورد رشوه‌خواری در سفارتخانه‌های آلمان در تهران و بیروت پاشنه آشیل روزآمد نبودن نرم افزار دردسرساز شد؛