شب گذشته هکرها با سوءاستفاده از یک آسیب پذیری در کلاینت اسمارت اینستال شرکت سیسکو موفق به نفوذ در زیرساخت های مهم دیجیتال در برخی کشورها و از جمله ایران شدند که منجر به بروز اختلالاتی سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی شد.
در همین ارتباط مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) اطلاعیهای منتشر و اعلام کرده است که در پی بروز اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی در ساعت حدود 20:15 در تاریخ هفدهم فروردینماه 97 بررسی و رسیدگی فنی به موضوع انجام و مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندیهای این تجهیزات (شامل running-config و startup-config) حذف گردیده است.
در موارد بررسی شده پیغامی با این مضمون در غالب startup-config مشاهده گردید: دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بوده و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین میتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموماً مورد استفاده نیز قرار ندارد) بر روی سوئیچها و روترهای خود اقدام کنند، همچنین بستن پورت 4786 در لبهٔ شبکه نیز توصیه میشود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو صورت پذیرد.
جزییات فنی این آسیب پذیری و نحوهٔ برطرف سازی آن در منابع زیر آمده است: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهندههای عمدهٔ اینترنت کشور مسدود شد.
ماهر اعلام کرده است که تا این لحظه، سرویس دهی شرکتها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
همچنین لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل حل شد. همچنین پیشبینی میشود که با آغاز ساعت کاری سازمانها، ادارات و شرکتها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند. لذا مدیران سیستمهای آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجدداً انجام پذیرد.
قابلیت آسیبپذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم برروی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام شود و رمز عبور قبلی تجهیز تغییر داده شود.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) در پایان توصیه کرده است که در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود شود. ضمن اینکه متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان را منتشر خواهد کرد.
هیچ دسترسی غیرمجازی به اطلاعات شهروندان اتفاق نیفتاده است
در این باره، سرهنگ علی نیکنفس، رئیس مرکز تشخیص سایبری با اشاره به حمله سایبری شب گذشته اظهار کرد: این حملات ناشی از آسیبپذیری در قابلیت پیکربندی راه دور تجهیزات سیسکو بوده است. این آسیبپذیری حدود ۱۰ روز قبل توسط این شرکت اعلام و رسانهای شده بود که اطلاعات آن در سایت پلیس فتا و مرکز ماهر موجود است.
به گزارش ایسنا، نیک نفس با بیان اینکه مشکلی که به وجود آمده، صرفاً به خاطر از کار افتادن سوئیچهای در شبکههاست تصریح کرد: طبیعی است این اختلال قطعی و کندی اینترنت را برای کاربران شرکتها در پی داشته است اما هیچ نوع دسترسی غیرمجاز و یا نشر اطلاعات رخ نداده است و ازاینجهت جای نگرانی وجود ندارد.
رئیس مرکز تشخیص سایبری که در یک برنامه تلویزیونی سخن میگفت، با بیان اینکه این شرکتها باید سعی کنند تا اختلالات موجود را حل کنند، گفت: این اختلالات حل شده و تا حدی روی سرویسهای اصلی اینترنتی کشور برطرف شده است اما با توجه به ساعات ابتدایی کاری این هفته برخی از شرکتها احتمالاً متوجه اختلالات در شبکه خود خواهند شد که باید نسبت به آسیبپذیری و رفع مشکل اقدام کنند.