جزئیات حمله سایبری اعلام شد، نحوه غیرفعال سازی صدمه پذیری

جزئیات حمله سایبری اعلام شد، نحوه غیرفعال سازی صدمه پذیری فیكس سرور: به دنبال حملات سایبری رخ داده در شب گذشته اعلام گردید كه هیچ دسترسی غیرمجازی به اطلاعات شهروندان اتفاق نیفتاده و این حملات شامل تجهیزات روتر و سوئیچ مختلف شركت سیسكو بوده كه تنظیمات این تجهیزات مورد حمله قرار گرفته و كلیه پیكربندی های این تجهیزات حذف گردیده است.


به گزارش فیكس سرور به نقل از ایسنا، مركز مدیریت امداد و هماهنگی عملیات رخدادهای كامپیوتری (ماهر) به دنبال حملات سایبری شب گذشته اطلاعیه ای منتشر و اعلام نموده است كه به دنبال بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراكز داده داخلی در ساعت حدود 20: 15 در تاریخ هفدهم فروردین ماه 97 بررسی و رسیدگی فنی به مبحث انجام و مشخص شد این حملات شامل تجهیزات روتر و سوئیچ مختلف شركت سیسكو بوده كه تنظیمات این تجهیزات مورد حمله قرار گرفته و كلیه پیكربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مضمون در غالب startup-config مشاهده گردید:
دلیل اصلی مشكل، وجود حفره امنیتی در خصوصیت smart install client تجهیزات سیسكو بوده و هر سیستم عاملی كه این خصوصیت بر روی آن فعال باشد در معرض صدمه پذیری مذكور قرار داشته و مهاجمین می توانند با استفاده از اكسپلویت انتشار یافته نسبت به اجرای كد از طریق دور بر روی روتر/سوئیچ اقدام نمایند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (كه عموما مورد استفاده هم قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همینطور بستن پورت 4786 در لبه ی شبكه هم سفارش می گردد. در صورت نیاز به استفاده از خصوصیت smart install، لازم است به روزرسانی به آخرین نسخه های پیشنهادی شركت سیسكو صورت پذیرد.
محتوای قرار گرفته در تنظیمات startup-config روترهای صدمه دیده به شرح زیر است:



جزییات فنی این صدمه پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است: https: //tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https: //tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اكسپلویت این صدمه پذیری در لبه شبكه زیرساخت كشور و همینطور كلیه سرویس دهنده های عمده ی اینترنت كشور مسدود شد.
ماهر اعلام نموده است كه تا این لحظه، سرویس دهی شركت ها و مراكز داده بزرگ همچون افرانت، آسیا تك، شاتل، پارس آنلاین و رسپینا بصورت كامل به حالت عادی بازگشته و اقدامات لازم جهت پیشگیری از تكرار رخداد مشابه انجام شده است.
همچنین لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مركز ماهر هم دچار مشكل شده بود كه در ساعت ۴ صبح مشكل حل شد. همینطور پیش بینی می گردد كه با آغاز ساعت كاری سازمان ها، ادارات و شركت ها، شمار قابل توجهی از این مراكز متوجه وقوع اختلال در سرویس شبكه داخلی خود شوند. بنابراین مدیران سیستم های صدمه دیده لازم است اقدامات زیر را انجام دهند: با استفاده از كپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود كنند یا در صورت عدم وجود كپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
قابلیت صدمه پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم برروی همه تجهیزات روتر و سوئیچ سیسكو (حتی تجهیزاتی كه صدمه ندیده اند) صورت گیرد و رمز عبور قبلی تجهیز تغییر داده شود.
مركز مدیریت امداد و هماهنگی عملیات رخدادهای كامپیوتری (ماهر) در انتها سفارش كرده است كه در روتر لبه شبكه با استفاده از ACL ترافیك ورودی 4786 TCP هم مسدود شود. ضمن اینكه متعاقباً گزارشات تكمیلی مرتبط با این صدمه پذیری و ابعاد تاثیرگذاری آن در كشور و سایر نقاط جهان را منتشر خواهد نمود.
در این ارتباط سرهنگ علی نیك نفس - رئیس مركز تشخیص سایبری پلیس فتا - هم با اشاره به حمله سایبری شب گذشته با اشاره به اختلال رخ داده در سرویس اینترنت كشور اظهار داشت: بررسی های اخیر تیم تالوس كه مرجع تهدیدشناسی و امنیت تجهیزات سیسكو است، نشان دهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبكه اینترنت بوده است و این حمله سایبری ناشی از صدمه پذیری امنیتی در سرویس پیكربندی از طریق دور تجهیزات سیسكو بوده و با عنایت به اینكه روترها و سوئیچ های مورد استفاده در سرویس دهنده های اینترنت و مراكز داده نقطه گلوگاهی و حیاتی در شبكه محسوب می شوند تولید مشكل در پیكربندی آنها تمام شبكه مرتبط را به صورت سراسری دچار اختلال كرده و قطع دسترسی كاربران این شبكه ها را به دنبال داشته است.
وی اضافه كرد: حدود یك سال قبل هم شركت مورد نظر هشداری در خصوص جستجوی گسترده هكرها به دنبال ابزارهایی كه قابلیت پیكربندی از طریق دور(smart install client) بر روی آنها فعال است را منتشر نموده بود.
به گفته نیك نفس، چنانچه قبلا هم مكرراً تاكید گردیده است مسئولان فناوری اطلاعات سازمان ها و شركت ها باید مستمراً رصد و شناسایی صدمه پذیری های جدید و رفع آنها را در دستور كار داشته باشند تا چنین مشكلاتی تكرار نشود.
رئیس مركز تشخیص و پیشگیری پلیس فتا ناجا با اشاره به اینكه هكرها می توانند با سوءاستفاده از صدمه پذیری شناسایی شده علاوه بر سرریز بافر به حذف و تغییر پیكربندی سوئیچ ها و روترهای سیسكو و كارانداختن خدمات آنها اقدام نمایند و همینطور قابلیت اجرای كد از طریق دور بر روی آنها را داشته باشند، اضافه كرد: در اقدام فوریتی سفارش می گردد مدیران شبكه سازمان ها و شركت ها با استفاده از دستور"show vstack " به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور "no vstack" آن را غیرفعال كنند.
به گفته او به علاوه با عنایت به اینكه حمله مزبور بر روی پورت 4786TCPصورت گرفته است بنابراین بستن ورودی پورت مزبور بر روی فایروال های شبكه هم سفارش می گردد. در مرحله بعد و در صورت نیاز به استفاده از خصوصیت پیكربندی راه دور تجهیزات مزبور، لازم است به روزرسانی به آخرین نسخه های پیشنهادی شركت سیسكو و رفع نقص امنیتی مزبور با استفاده از آدرس پیش گفته صورت گیرد.
وی ادامه داد: همینطور پیش بینی می گردد كه با آغاز ساعت كاری سازمان ها، ادارات و شركت ها، شمار قابل توجهی از این مراكز متوجه وقوع اختلال در سرویس شبكه داخلی خود گردند. بنابراین مدیران سیستم های صدمه دیده باید با استفاده از كپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیزات خود كنند یا در صورت عدم وجود كپی پشتیبان، راه اندازی و پیكربندی تجهیزات مجددا انجام پذیرد.
براساس اعلام مركز اطلاع رسانی فتا، نیك نفس با اشاره به اینكه قابلیت صدمه پذیر smart install client هم با اجرای دستور "no vstack" غیر فعال شود، تصریح كرد: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسكو (حتی تجهیزاتی كه صدمه ندیده اند) انجام گردد. سفارش می گردد در روتر لبه شبكه با استفاده ازفهرست كنترل دسترسی(ACL )ترافیك ورودی 4786 TCP هم مسدود گردد.
رئیس مركز تشخیص و پیشگیری پلیس فتای ناجا افزود: مجددا تاكید می گردد كه مسئولان فناوری اطلاعات سازمان ها و شركت ها باید نسبت به بررسی مستمر آخرین صدمه پذیرهای سامانه‎ها و ابزارها اقدام و نسبت به به روزرسانی و رفع نقصها احتمالی در اسرع وقت اقدام نمایند.
شب گذشته وزیر ارتباطات و فناوری اطلاعات با انتشار توئیتی از حمله گسترده به برخی مراكز داده كشور اطلاع داد.
به گزارش فیكس سرور به نقل از ایسنا محمد جواد آذری جهرمی در توییت خود آورده بود: برخی مراكز داده كشور با حمله سایبری رو به رو شده اند. تعدادی از مسیریاب های كوچك به تنظیمات كارخانه ای تغییر یافته اند. مركز ماهر با یاری رساندن به این مراكز داده حمله را كنترل و در حال اصلاح شبكه های آنان و برگرداندن وضعیت به حالت طبیعی است.
تلاش ها برای نا امن جلوه دادن ها یك فرصت برای اصلاح اشكال هاست.
آذری جهرمی همینطور در توئیت دیگری دامنه این حملات را فراتر از ایران اعلام نموده و ادامه داده است: منشا حملات در دست بررسی می باشد. تا كنون بیش از ۹۵ درصد مسیر یاب های متاثر از حمله به حالت عادی بازگشته و سرویس دهی خویش را از سر گرفته اند.




1397/01/18
14:43:57
5.0 / 5
177
تگهای خبر: اینترنت , پلیس فتا , سئو , سایبر
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
نظر شما در مورد این مطلب
نام:
ایمیل:
نظر:
سوال:
= ۶ بعلاوه ۵
تعمیر سرور فیکس سرور

fixserver.ir - حقوق مادی و معنوی سایت فیكس سرور محفوظ است

فیكس سرور

سرور و هاست و دامین