روزنامه آرمان امروز

جزئيات حمله سايبري

آرمان: جمعه شب برخی مراکز داده کشور با حمله سایبری مواجه شدند و وزیر ارتباطات و فناوری اطلاعات در همان زمان با انتشار توئیتی از حمله گسترده به برخی مراکز داده کشور خبر داد. محمدجواد آذری جهرمی در توئیت خود آورده بود: برخی مراکز داده کشور با حمله سایبری مواجه شده‌اند. تعدادی از مسیریاب‌های کوچک به تنظیمات کارخانه‌ای تغییر یافته‌اند. مرکز ماهر با یاری رساندن به این مراکز داده حمله را کنترل و در حال اصلاح شبکه‌های آنان و برگرداندن وضعیت به حالت طبیعی است. آذری جهرمی همچنین در توئیت دیگری دامنه این حملات را فراتر از ایران اعلام کرده و ادامه داده است: منشأ حملات در دست بررسی است. تا کنون بیش از ۹۵ درصد مسیریاب‌های متاثر از حمله به حالت عادی بازگشته‌ و سرویس دهی خود را از سر گرفته‌اند.
دسترسي غيرمجاز؛ نه
بر اساس گزارش وزیر ارتباطات، حدود ۳۵۰۰ مسیریاب از مجموع چند صد هزار مسیریاب شبکه کشور متأثر از حمله شده‌اند. عملکرد شرکت‌ها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است. در اطلاع‌رسانی مرکز ماهر به شرکت‌ها و نیز در پیکره‌بندی مراکز داده، ضعف وجود داشته است. در پی حملات سایبری رخ داده در شب گذشته اعلام شد که هیچ دسترسی غیرمجازی به اطلاعات شهروندان اتفاق نیفتاده و این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های این تجهیزات حذف گردیده است.
حفره امنيتي


مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) به دنبال حملات سایبری شب گذشته اطلاعیه‌ای منتشر و اعلام کرده است که در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی در ساعت حدود 15:20 در تاریخ هفدهم فروردین ماه 97 بررسی و رسیدگی فنی به موضوع انجام و مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های این تجهیزات حذف گردیده است. دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بوده و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب‌ قرار داشته و مهاجمان می‌توانسته‌اند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
لزوم بررسی مستمر
در این ارتباط سرهنگ علی نیک‌نفس رئیس مرکز تشخیص سایبری پلیس فتا هم با اشاره به حمله سایبری شب گذشته با اشاره به اختلال رخ داده در سرویس اینترنت کشور گفت: بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت بوده است و این حمله سایبری ناشی از آسیب پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچ‌های مورد استفاده در سرویس دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه‌ها را در پی داشته است. وی افزود: حدود یک‌سال قبل نیز شرکت مورد نظر هشداری را مبنی بر جست‌وجوی گسترده هکرها در ابزارهایی که قابلیت پیکربندی از راه دور بر روی آنها فعال است منتشر کرده بود. رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا اضافه کرد: مجددا تاکید می‌گردد که مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید نسبت به بررسی مستمر آخرین آسیب پذیرهای سامانه‎ها و ابزارها اقدام و نسبت به بروزرسانی و رفع نواقص احتمالی در اسرع وقت اقدام کنند و قابلیت اجرای کد از راه دور بر روی آنها را داشته باشند. وی ادامه داد: در اقدام فوریتی توصیه می‌شود مدیران شبکه سازمان‌ها و شرکت‌ها با استفاده از دستور«show vstack» به بررسی وضعیت فعال‌بودن قابلیت smart install client اقدام و با استفاده از دستور «novstack» آن‌را غیرفعال کنند. رئیس مرکز تشخیص سایبری پلیس فتا تاکید کرد: با توجه به اینکه حمله مزبور بر روی پورت 4786TCPصورت گرفته است لذا بستن ورودی پورت مزبور بر روی فایروال‌های شبکه نیز توصیه می‌شود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است به روز رسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.
وضعیت فعلی شبکه
سرهنگ نیک‌نفس خاطرنشان کرد: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعات تا این لحظه، سرویس دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس‌آنلاین و رسپینا به‌صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. وی ادامه داد: همچنین پیش‌بینی می‌شود که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ‌داخلی خود گردند. لذا مدیران سیستم‌های آسیب دیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیزات خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و پیکربندی تجهیزات مجددا انجام پذیرد. براساس اعلام مرکز اطلاع رسانی فتا، نیک‌نفس با اشاره به اینکه قابلیت آسیب‌پذیر smart install client نیز با اجرای دستور «no vstack» غیرفعال شود، تاکید کرد: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام گردد. توصیه می‌گردد در روتر لبه شبکه با استفاده ازفهرست کنترل دسترسی(ACL )ترافیک ورودی 4786 TCP نیز مسدود شود. رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا اضافه کرد: مجددا تاکید می‌گردد که مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید نسبت به بررسی مستمر آخرین آسیب‌پذیرهای سامانه‎ها و ابزارها اقدام و نسبت به بروز رسانی و رفع نواقص احتمالی در اسرع وقت اقدام کنند.
لینک منبع خبر
پربازدیدترین‌های روزنامه ها
«حشاشین» چرا ممنوع شد؟ و چرا حالا ممنوع شد؟! (شهروند) گاف «بی‌بی‌سی» درباره پروژه هواپیمای جت ۷۲ نفره ایرانی (کيهان) آقایان زیباکلام، فاضلی، ارمکی! این بود غایت لیبرال‌بودن شما؟! (جوان) بازی خطرناک نتانیاهو در جنوب غزه (تجارت)
سایر اخبار این روزنامه
جزئيات حمله سايبري احمدي‌نژاد دستاورد «راديكاليسم راست» تحليل آسيب‌هاي دولت به اصلاحات اعضای شورا حرف‌های من را نشنیده‌اند پايان امتياز‌دهي به مداحان ثبت ۷۴‌میلیون نفرشب اقامت در نوروز سرنوشت مبهم تعیین دستمزد دبل برانکو و شاگردان رفع حصر، در حصر اختلاف «بدهي‌هاي قاليباف» فشار اصلي به نجفي بود دوصد گفته چون نیم کردار نیست ایستادگی در فشارها یا استعفا؟ دور افتخار، دور آزادی دشمنان با هوشیاری مردم خوزستان ناکام خواهند ماند راکتور تحقیقاتی تهران جوان شد پیام‌رسان تم تم فیلتر شد دریافت رشوه کارکنان سفارت برای صدور روادید میانجیگری عراق بین ایران و عربستان!