محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری ارتباطات کشور، دقایقی پیش با انتشار توییتی اعلام کرد که برخی از مراکز دادهی کشور با حملهی سایبری مواجه شدهاند و بدین ترتیب تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای خود تغییر یافتهاند. وی در ادامهی توییت خود گفت:
مرکز ماهر به یاری این مراکز داده، حمله را کنترل [کرد] و [آنها] در حال اصلاح شبکهها [و برگرداندن آنان] به حالت طبیعی هستند.
جهرمی معتقد است که تلاشها برای ناامن نشان دادن مراکز دادههای کشور، فرصتی برای رفع مشکلات آنها است. وزیر ارتباطات کشورمان در ادامهی توییتهای خود اعلام کرد که بررسیها نشان از مورد حمله قرار گرفتن مسیریابها دارند و با هک شدن پرچم ایالات متحده، در حقیقت اعتراضی به انتخابات آمریکا صورت گرفته است. جهرمی میگوید:
دامنهی حملات فراتر از ایران است و منشاء حملات در دست بررسی است.
محمدجواد آذری جهرمی در توییت سوم خود از بازگشت بیش از ۹۵ درصد مسیریابهای متأثر از حملات به حالت عادی خبر داد و مدعی شد که این مسیریابها سرویسدهی خود را از سر گرفتهاند.
رئیس مرکز تشخیص سایبری با اشاره به حملات سایبری رخداده در شب گذشته و با اعلام حل نسبی اختلالات ناشی از این حمله سایبری، گفت هیچ دسترسی غیر مجازی به اطلاعات شهروندان اتفاق نیفتاده است.
سرهنگ علی نیکنفس، رئیس مرکز تشخیص سایبری، با اشاره به حمله سایبری شب گذشته اظهار کرد: «این حملات ناشی از آسیبپذیری در قابلیت پیکربندی راه دور تجهیزات سیسکو بوده است. این آسیبپذیری حدود ۱۰ روز قبل توسط این شرکت اعلام و رسانهای شده بود که اطلاعات آن در سایت پلیس فتا و مرکز ماهر موجود است.»
وی با بیان اینکه مشکل بهوجودآمده، صرفا به خاطر از کار افتادن سوئیچها در شبکهها است، تصریح کرد: «طبیعی است این اختلال قطعی و کندی اینترنت را برای کاربران شرکتها در پی داشته؛ اما هیچ نوع دسترسی غیر مجاز یا نشر اطلاعات رخ نداده است و از این جهت جای نگرانی وجود ندارد.»
علی نیک نفس اعلام کرد که اختلالات مورد نظر حل شده است؛ ولی به دلیل مصادف شدن این مشکل با ساعات ابتدایی کاری در کشور، احتمالا شماری از شرکتها متوجه اختلالات در شبکه خواهند شد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) اطلاعیهای منتشر و اعلام کرده است که در پی بروز اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی در ساعت حدود ۲۰:۱۵ تاریخ هفدهم فروردینماه ۹۷، بررسی و رسیدگی فنی به موضوع انجام و مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده است که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندیهای آنها (شامل Running-config و Startup-config) حذف شده است.
دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی Smart install client تجهیزات سیسکو بوده است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیبپذیری مذکور قرار دارد و مهاجمان میتوانند با استفاده از اکسپلویت منتشرشده، به اجرای کد از راه دور روی روتر/سوئیچ اقدام کنند.
لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیر فعالسازی قابلیت فوق (که عموما مورد استفاده ندارد) روی سوئیچها و روترهای خود اقدام کنند. همچنین بستن پورت 4786 در لبهی شبکه توصیه میشود. در صورت نیاز به استفاده از ویژگی Smart install، لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو صورت پذیرد.
در این راستا بهمحض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیبپذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویسدهندههای عمدهی اینترنت کشور مسدود شد.
ماهر اعلام کرده است که تا این لحظه، سرویسدهی شرکتها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا بهصورت کامل به حالت عادی بازگشته و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
همچنین لازم به توضیح است که متأسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر دچار مشکل شده بود که در ساعت ۴ بامداد مشکل حل شد. همچنین پیشبینی میشود که با آغاز ساعت کاری سازمانها، ادارات و شرکتها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند.
اگر قابلیت آسیبپذیر Smart install client با اجرای دستور «no vstack» غیر فعال شود، لازم است این تنظیم روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام شود و رمز عبور قبلی آنها تغییر داده شود.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) در پایان توصیه کرده است که در روتر لبه شبکه و با استفاده از ACL، ترافیک ورودی 4786 TCP نیز مسدود شود؛ ضمن اینکه متعاقباً گزارشات تکمیلی در رابطه با این آسیبپذیری و ابعاد تأثیرگذاری آن در کشور و سایر نقاط جهان را منتشر خواهد کرد.