فناوران - در پی حملات سایبری جمعه شب، بسیاری از اپلیکیشن ها و سرویس های ارایه کننده خدمات اپلیکیشن ایرانی از دسترس خارج شدند.
در این حمله سوییچ های سیسکو در کشورهای مختلف و ۱۶۸۰۰۰ سامانه مشابه در جهان در خطر حمله قرار گرفتند. با این حال وضعیت ترافیک اینترنت نشان می دهد حداقل در منطقه خاورمیانه ایران بیشترین آسیب را از این حمله دیده است.
اطلاعیه وزارت فاوا
وزارت ارتباطات و فناوری اطلاعات روز گذشته با انتشار اطلاعیه ای، به تشریح اتفاقات مذکور پرداخت. در این اطلاعیه، برخلاف گذشته وزارت فاوا اشتباه زیرمجموعه اش در عدم اطلاع رسانی به موقع درباره این تهدید را پذیرفته است.
متن اطلاعیه به این شرح است:
1- جمعه هفدهم فروردین ماه حدود ساعت 21 برخی از سرویس های میزبانی شده در مراکز داده داخل کشور از دسترس خارج شدند.
2- پس از اطلاع، تیم اقدام سریع تشکیل و موضوع به سرعت بررسی و مشخص شد حمله سایبری به برخی از روترسوییچ های کم ظرفیت سیسکو که آسیب پذیر بوده اند، صورت گرفته و این روترها به حالت تنظیم کارخانه ای بازگشته اند.
3- حمله مذکور ظاهرا به بیش از 200 هزار روتر سوییچ در کل دنیا صورت گرفته و حمله ای گسترده بوده است، در کشور ما حدود 3500 روتر سوییچ مور حمله واقع شده که 550 فقره در تهران، 170 فقره استان سمنان و 88 فقره استان اصفهان بوده و بیشترین آسیب پذیری از نقطه تعداد در شرکت های رسپینا، ایزایران و شاتل رخ داده است، لیکن اختلال تعداد کمی روتر در برخی مراکز سرویس های پرکاربردی را از دسترس خارج کرد.
4- با تشکیل گروه های واکنش سریع و تلاش همه متخصصان و فعالان همه شرکت ها به سرعت اقدامات اجرایی آغاز شد و با توجه به اینکه برای فعالیت مجدد روترها نیاز به حضور فیزیکی کارشناسان بود با اقدام به موقع تاساعت 12 شب بیش از 95 درصد شبکه به حالت اولیه برگشت.
5- خوشبختانه با توجه به پیش بینی های لازم در زیرساخت ارتباطی کشور شبکه زیرساخت دچار هیچ اختلالی نشد و کم ترین اختلال نیز در سه اپراتور تلفن همراه و مراکز داده شرکت های پارس آنلاین و تبیان گزارش شد.
6- در خصوص منشاء حمله از طریق مراکز بین المللی پیگیری لازم صورت خواهد گرفت لیکن با توجه به اینکه در این حمله از پرچم کشور آمریکا و شعاری در خصوص عدم دخالت در انتخابات این کشور استفاده شده و همچنین زمان وقوع حمله که جمعه شب بوده است، به نظر می رسد منشاء حمله از منطقه خاورمیانه نبوده است.
7- شرکت سیسکو 10 روز پیش موضوع آسیب پذیری روتر سوییچ های مذکور را اعلام کرده بود اما به دلیل اینکه بسیاری از شرکت های خصوصی در ایام تعطیلات تغییر تنظیمات شبکه خود را در حالت فریز نگهداری می کنند و همچنین عدم اطلاع رسانی تاکیدی مرکز ماهر و عدم هشدار به این شرکت ها برای به روز رسانی تنظیمات شبکه خود منجر به آسیب پذیری شبکه این شرکت ها شد.
8- براساس اعلام مرکزماهر، مرکز آپای دانشگاه همدان پیش از وقوع حمله موضوع را در دست تحلیل و پایش داشته و منتظر تکمیل پایش تجهیزات کشور بوده که متاسفانه قبل از تکمیل گزارش نهایی حمله مذکور اتفاق افتاد.
9- آنچه مشخص است در این حمله ظاهرا سازمان یافته باوجود نقاط مثبتی همچون واکنش سریع، عدم تاثیرپذیری هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت، عدم اختلال جدی شبکه سه اپراتور تلفن همراه و برخی از FCPها، متاسفانه ضعف اطلاع رسانی به موقع ازسوی مرکز ماهر و نبود پیکره بندی مناسب در مراکز داده و سرویس دهندگان فناوری اطلاعات مستقر در این مراکز داده باعث تشدید عوارض این حمله شد بر همین اساس اصلاحات لازم در مجموعه های مرتبط و نیز تذکرات لازم به بخش خصوصی اجرایی خواهد شد.
واکنش توییتری آذری جهرمی
وزیر ارتباطات و فناوری اطلاعات نیز با بیان بررسی حمله سایبری به مراکز داده در یک جلسه اضطراری اعلام کرد: عملکرد شرکت ها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است، ضعف در اطلاع رسانی مرکز ماهر به شرکت ها و نیز ضعف در پیکره بندی مراکز داده وجود داشته است.
وزیر ارتباطات و فناوری اطلاعات در توییتر نوشت: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بوده اند.
توصیه های پلیس فتا
رییس مرکز تشخیص و پیشگیری پلیس فتا ناجا نیز با بیان اینکه اختلال در سرویس اینترنت کشور صرفا قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است، گفت: این حمله سایبری ناشی از آسیب پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوییچ های مورد استفاده در سرویس دهنده های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می شوند، ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه ها را در پی داشته است.
علی نیک نفس افزود: بررسی های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از 168000 ابزار فعال در شبکه اینترنت بوده است.
وی ادامه داد: حدود یک سال قبل نیز شرکت مزبور هشداری مبنی بر جست وجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور(smart install client ) روی آنها فعال است، منتشر کرده بود.
به گفته نیک نفس مسوولان فناوری اطلاعات سازمان ها و شرکت ها باید مستمرا رصد و شناسایی آسیب پذیری های جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.
رییس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه هکرها می توانند با سوءاستفاده از آسیب پذیری شناسایی شده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوییچ ها و روترهای سیسکو و کارانداختن خدمات آنها اقدام کنند و همچنین قابلیت اجرای کد از راه دور روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه می شود مدیران شبکه سازمان ها و شرکت ها با استفاده از دستور show vstack به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور no vstack آن را غیرفعال کنند.
وی ادامه داد: به علاوه با توجه به اینکه حمله مزبور روی پورت4786 TCPصورت گرفته است لذا بستن ورودی پورت مزبور روی فایروال های شبکه نیز توصیه می شود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است به روز رسانی به آخرین نسخه های پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.
نیک نفس گفت: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعات سرویس دهی شرکت ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
این مقام انتظامی ادامه داد: همچنین پیش بینی می شود که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند. لذا مدیران سیستم های آسیب دیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیزات خود کنند یا در صورت نبود کپی پشتیبان، راه اندازی و پیکربندی تجهیزات مجددا انجام پذیرد.
نیک نفس با بیان اینکه قابلیت آسیب پذیر smart install client نیز با اجرای دستورno vstack غیر فعال شود، گفت: لازم است این تنظیم روی همه تجهیزات روتر و سوییچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام شود. در نهایت اینکه توصیه می شود در روتر لبه شبکه با استفاده ازفهرست کنترل دسترسی (ACL) ترافیک ورودی 4786 TCP نیز مسدود شود.