وزیر ارتباطات: به مراکز داده های کشور حمله سایبری شده است
توسط : امید رضا دوامی در تاریخ : 1397/1/18
  • اتاق خبر راشین وب
وزیر ارتباطات: به مراکز داده های کشور حمله سایبری شده است

محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری ارتباطات کشور، دقایقی پیش با انتشار توییتی اعلام کرد که برخی از مراکز داده‌ی کشور با حمله‌ی سایبری مواجه شده‌اند و بدین ترتیب تعدادی از مسیریاب‌های کوچک به تنظیمات کارخانه‌ای خود تغییر یافته‌اند. وی در ادامه‌ی توییت خود گفت:
   مرکز ماهر به یاری این مراکز داده، حمله را کنترل [کرد] و [آن‌ها] در حال اصلاح شبکه‌ها [و برگرداندن آنان] به حالت طبیعی هستند.
جهرمی معتقد است که تلاش‌ها برای ناامن نشان دادن مراکز داده‌های کشور، فرصتی برای رفع مشکلات آن‌ها است. وزیر ارتباطات کشورمان در ادامه‌ی توییت‌های خود اعلام کرد که بررسی‌ها نشان از مورد حمله قرار گرفتن مسیریاب‌ها دارند و با هک‌ شدن پرچم ایالات متحده، در حقیقت اعتراضی به انتخابات آمریکا صورت گرفته است. جهرمی می‌گوید:
   دامنه‌ی حملات فراتر از ایران است و منشاء حملات در دست بررسی است.
محمدجواد آذری جهرمی در توییت سوم خود از بازگشت بیش از ۹۵ درصد مسیریاب‌های متأثر از حملات به حالت عادی خبر داد و مدعی شد که این مسیریاب‌ها سرویس‌دهی خود را از سر گرفته‌اند.
رئیس مرکز تشخیص سایبری با اشاره به حملات سایبری رخ‌داده در شب گذشته و با اعلام حل نسبی اختلالات ناشی از این حمله سایبری، گفت هیچ دسترسی غیر مجازی به اطلاعات شهروندان اتفاق نیفتاده است.
سرهنگ علی نیک‌نفس، رئیس مرکز تشخیص سایبری، با اشاره به حمله سایبری شب گذشته اظهار کرد: «این حملات ناشی از آسیب‌پذیری در قابلیت پیکربندی راه دور تجهیزات سیسکو بوده است. این آسیب‌پذیری حدود ۱۰ روز قبل توسط این شرکت اعلام و رسانه‌ای شده بود که اطلاعات آن در سایت پلیس فتا و مرکز ماهر موجود است.»
وی با بیان اینکه مشکل به‌وجود‌آمده، صرفا به خاطر از کار افتادن سوئیچ‌ها در شبکه‌ها است، تصریح کرد: «طبیعی است این اختلال قطعی و کندی اینترنت را برای کاربران شرکت‌ها در پی داشته؛ اما هیچ نوع دسترسی غیر مجاز یا نشر اطلاعات رخ نداده است و از این جهت جای نگرانی وجود ندارد.»
علی نیک نفس اعلام کرد که اختلالات مورد نظر حل شده است؛ ولی به دلیل مصادف شدن این مشکل با ساعات ابتدایی کاری در کشور، احتمالا شماری از شرکت‌ها متوجه اختلالات در شبکه خواهند شد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) اطلاعیه‌ای منتشر و اعلام کرده است که در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی در ساعت حدود ۲۰:۱۵ تاریخ هفدهم فروردین‌ماه ۹۷، بررسی و رسیدگی فنی به موضوع انجام و مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده است که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های آ‌نها (شامل Running-config و Startup-config) حذف شده است.
دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی Smart install client تجهیزات سیسکو بوده است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیب‌پذیری مذکور قرار دارد و مهاجمان می‌توانند با استفاده از اکسپلویت منتشرشده، به اجرای کد از راه دور روی روتر/سوئیچ اقدام کنند.
لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیر فعال‌سازی قابلیت فوق (که عموما مورد استفاده ندارد) روی سوئیچ‌ها و روترهای خود اقدام کنند. همچنین بستن پورت 4786 در لبه‌ی شبکه توصیه می‌شود. در صورت نیاز به استفاده از ویژگی Smart install، لازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو صورت پذیرد.

در این راستا به‌محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب‌پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس‌دهنده‌های عمده‌ی اینترنت کشور مسدود شد.
 
 
 
ماهر اعلام کرده است که تا این لحظه، سرویس‌دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا به‌صورت کامل به حالت عادی بازگشته و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
همچنین لازم به توضیح است که متأسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر دچار مشکل شده بود که در ساعت ۴ بامداد مشکل حل شد. همچنین پیش‌بینی می‌شود که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند.
اگر قابلیت آسیب‌پذیر Smart install client با اجرای دستور «no vstack» غیر فعال شود، لازم است این تنظیم روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام شود و رمز عبور قبلی آن‌ها تغییر داده شود.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) در پایان توصیه کرده است که در روتر لبه شبکه و با استفاده از ACL، ترافیک ورودی 4786 TCP نیز مسدود شود؛ ضمن اینکه متعاقباً گزارشات تکمیلی در رابطه با این آسیب‌پذیری و ابعاد تأثیرگذاری آن در کشور و سایر نقاط جهان را منتشر خواهد کرد.