هر آنچه باید درباره حمله گسترده سایبری دیشب بدانید !

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا توضیحاتی در خصوص حمله گسترده سایبری شب گذشته ارائه داد.

سرهنگ نیک‌نفس رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکهاختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسیغیرمجاز یا نشت اطلاعات رخ نداده است، گفت: این حمله سایبری ناشی از آسیب پذیری امنیتی در سرویس پیکربندیاز راه دور تجهیزات سیسکو بوده و با توجه به اینکه روتر‌ها و سوئیچ‌های مورد استفادهدر سرویس دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوندایجاد مشکل در پیکربندی آن‌ها تمام شبکه مرتبط را به صورت سراسری دچار اختلال نمودهو قطع دسترسی کاربران این شبکه‌ها را در پی داشته است.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا تصریح کرد: بررسی‌های اخیر تیم تالوسکه مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتیدر بیش از ۱۶۸۰۰۰ ابزار فعال در شبکه اینترنت بوده است.

وی افزود: حدود یک‌سال قبل نیز شرکت مزبور هشداری مبنی بر جستجوی گسترده هکر‌هابه دنبال ابزر‌هایی که قابلیت پیکربندی از راه دور (smart install client)بر روی آن‌ها فعال است را منتشر کرده بود.

توضیحات پلیس فتا درمورد حمله گسترده سایبری

به گفته نیک‌نفس چنانچه قبلا نیز مکرراً تاکید شده است مسئولان فناوری اطلاعاتسازمان‌ها و شرکت‌ها باید مستمراً رصد و شناسایی آسیب‌پذیری‌های جدید و رفع آن‌ها را در دستورکار داشته باشند تا چنین مشکلاتی تکرار نشود.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه هکر‌ها می‌توانند با سوءاستفادهاز آسیب‌پذیری شناسایی شده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوئیچ‌ها و روتر‌هایسیسکو و کارانداختن خدمات آن‌ها اقدام نمایندو همچنین قابلیت اجرای کد از راه دور بر روی آن‌ها را داشته باشند، افزود: در اقدام فوریتیتوصیه می‌شود مدیران شبکه سازمان‌ها و شرکت‌ها با استفاده از دستور”show vstack ” به بررسیوضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور “no vstack” آن‌را غیرفعال کنند.

وی ادامه داد: به علاوه با توجه به اینکه حمله مزبور بر روی پورت ۴۷۸۶TCP صورت گرفته استلذا بستن ورودی پورت مزبور بر روی فایروال‌های شبکه نیز توصیه می‌شود. در مرحله بعد و در صورتنیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است به روز رسانی به آخریننسخه‌های پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.

سرهنگ نیک‌نفس خاطر نشان شد: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعاتتا این لحظه، سرویس دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیا تک،شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته استو اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.

حمله گسترده سایبری در تاریخ ۱۷ فروردین ماه

این مقام ارشد انتظامی ادامه داد: همچنین پیش‌بینی می‌گردد که با آغاز ساعتکاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلیخود گردند؛ لذا مدیران سیستم‌های آسیب دیده باید با استفاده از کپی پشتیبان قبلی،اقدام به راه‌اندازی مجدد تجهیزات خود نمایند یا در صورت عدم وجود کپی پشتیبان،راه‌اندازی و پیکربندی تجهیزات مجددا انجام پذیرد.

سرهنگ نیک‌نفس با اشاره به اینکه قابلیت آسیب‌پذیر smart install client نیز با اجرای دستور“no vstack” غیر فعال گردد، تاکید کرد: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو(حتی تجهیزاتی که آسیب ندیده‌اند) انجام گردد. توصیه می‌گردد در روتر لبه شبکه با استفادهازفهرست کنترل دسترسی (ACL) ترافیک ورودی ۴۷۸۶ TCP نیز مسدود گردد.

وی یادآور شد: مجددا تاکید می‌گردد که مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌هاباید نسبت به بررسی مستمرر آخرین آسیب پذیر‌های سامانه‎ها و ابزار‌ها اقدام و نسبت به بروز رسانیو رفع نواقص احتمالی در اسرع وقت اقدام کنند.

سرهنگ نیک‌نفس در پایان گفت: هرگونه اطلاعات تکمیلی در این خصوص از طریق سایتپلیس فتا اطلاع رسانی خواهد شد.

درمورد حمله گسترده سایبری دیشب بیشتر بدانید

از ساعات ابتدایی شب گذشته جمعه ۱۷ فروردین ماه دسترسی بخشی از هموطنانمانبه شبکه اینترنت در دیتاسنتر افرانت، شاتل، صبانت و … با اختلال مواجه شد و اندکی نگذشت کهبسیاری از سایت‌ها و پایگاه‌های خبری نیز از دسترس خارج شدند.

از همان اوایل گمانه‌زنی‌هایی در رسانه‌های مجازی و کانال‌های تلگرامی به جریان افتادکه خبر از حمله سایبری به زیرساخت های کشور داشت. و گمانه‌زنی‌هایی مطرح شد که مبنای این مشکلنیز از حملات شبکه‌ای تحت آسیب‌پذیری‌های Cisco است.

در همان ساعت اولیه محمدجواد آذری جهرمی وزیر ارتباطات و فناوری اطلاعات کشورماندر حساب توئیتر خود این شنیده‌ها را تایید کرد و از حمله گسترده سایبری به کشور سخن گفت.

تسنیم ، مشرق نیوز

مجله اینترنتی آسمانیها۹۰