جزئیات حمله سایبری شب گذشته به دیتاسنترهای داخلی + اطلاعیه مرکز ماهر

شب گذشته حملات سایبری گسترده‌ای در نقاط مختلف جهان از جمله ایران اتفاق افتاد و بسیاری از شبکه‌های حیاتی کشور دچار اختلال شدند. در ادامه به بررسی جزئیات این حمله سایبری می‌پردازیم.

در پی حملات سایبری گسترده در شب گذشته (جمعه 17 فروردین 1397)، بسیاری از شبکه‌های حیاتی کشور با اختلال مواجه شدند. مسئولان اعلام کرده‌اند که پس از این حملات هکری، هیچ دسترسی غیر مجازی به اطلاعات شهروندان اتفاق نیفتاده و این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو (Cisco) بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های آن‌ها حذف شده است. طبق آمار اعلام شده، 168 هزار رایانه در جهان به دلیل نقص امنیتی سوئیچ‌های سیسکو مورد حمله سایبری قرار گرفتند که این حمله به دیتاسنترهای داخلی ایران نیز رسوخ کرده است.

اطلاعیه مرکز ماهر درباره حمله سایبری شب گذشته

در همین رابطه، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (مرکز ماهر) اطلاعیه‌ای را منتشر کرده و جزئیات حمله سایبری شب گذشته و بروز اختلال سراسری در سرویس اینترنت را منتشر کرده است. در این اطلاعیه آمده که در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی در ساعت حدود 20:15 روز 17 فروردین‌ماه جاری، بررسی و رسیدگی فنی به موضوع انجام گرفت. طی بررسی اولیه مشخص شد که این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های این تجهیزات شامل running-config و statup-config حذف شده است. در موراد بررسی شده، پیغامی با این مضمون در قالب startup-config مشاهده شد.

دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات شرکت Cisco است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیب‌پذیری مذکور قرار داشته و مهاجمان می‌توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوئیچ اقدام کنند. در این راستا لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیر فعال‌سازی قابلیت فوق که عموما مورد استفاده نیز قرار ندارد، روی سوئیچ‌ها و روترهای خود اقدام کنند. همچنین بستن پورت 4786 در لبه شبکه نیز توصیه می‌شود. در صورت نیاز به استفاده از ویژگی smart install نیز لازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو صورت پذیرد.

محتوای قرار گرفته در تنظیمات startup-config روترهای آسیب دیده به شرح زیر است:

در لینک‌های زیر، جزئیات فنی این آسیب‌پذیری و نحوه برطرف‌سازی آن آمده است:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi

در همین راستا، به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب‌پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس‌دهنده‌های عمده اینترنت کشور مسدود شد. تا این لحظه، سرویس‌دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته و اقدام لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به ذکر است که متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت 4 بامداد، این مشکل برطرف شد.

همچنین پیش‌بینی می‌شد که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند. بنابراین لازم است مدیران سیستم‌های آسیب دیده، اقدام زیر را انجام دهند:

• با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و تنظیم تجهیز مجددا انجام پذیرد.
• قابلیت آسیب‌پذیر smart install client با اجرای دستور «no vstack» غیر فعال شود.
• لازم است این تنظیم روی همه تجهیزات روتر و سوئیچ سیسکو، حتی تجهیزاتی که آسیب ندیده‌اند، انجام شود. رمز عبور قبلی تجهیز نیز تغییر داده شود.
• توصیه می‌شود در روتر لبه شبکه با استفاده از ACL ترافیک ورودی TCP 4786 نیز مسدود شود.

سرهنگ علی نیک نفس، رئیس مرکز تشخیص سایبری پلیس فتا با اشاره به حمله سایبری شب گذشته و اختلال رخ داده در سرویس اینترنت کشور، اظهار کرد:

بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان‌دهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت بوده و این حمله سایبری ناشی از آسیب‌پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده است. با توجه به این که روترها و سوئیچ‌های مورد استفاده در سرویس‌دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوند، ایجاد مشکل در پیکربندی آن‌ها، تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه‌ها را در پی داشته است.

وی در ادامه اضافه کرد حدود یک سال قبل نیز شرکت مورد نظر هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور (smart install client) بر روی آن‌ها فعال است را منتشر کرده بود. به گفته نیک نفس، مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید همیشه رصد و شناسایی آسیب‌پذیری‌های جدید و رفع آن‌ها را در دستور کار خود داشته باشند تا چنین مشکلاتی تکرار نشود.

سرهنگ نیک نفس همچنین افزود هکرها می‌توانند با سوءاستفاده از آسیب‌پذیری شناسایی شده، علاوه بر سرزیر بافر به حذف و تغییر پیکربندی سوئیچ‌ها و روترهای سیسکو و کار انداختن خدمات آن‌ها اقدام کنند و قابلیت اجرای کد از راه دور را بر روی آن‌ها داشته باشند. در این راستا توصیه می‌شود مدیران شبکه سازمان‌ها و شرکت‌ها در اقدام فوریتی، با استفاده از دستور show vstack به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور no vstack آن را غیر فعال کنند.

رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا توصیه کرد با توجه به این که حمله مزبور بر روی پورت 4786TCP صورت گرفته است، لذا بستن ورودی پورت مزبور بر روی فایروال‌های شبکه نیز توصیه می‌شود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی از راه دور تجهیزات مذکور، لازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت Cisco و رفع نقص امنیتی مزبور از طریق آدرس گفته شده، انجام شود.

هسته شبکه ملی اطلاعات در امان ماند

محمد جواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات، در مورد حمله سایبری شب گذشته گفت هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و شبکه اپراتورهای موبایل به دلیل توجه به هشدارها و انجام اقدامات امنیتی لازم از این حمله در امان مانده‌اند. وی همچنین اعلام کرد حدود 3500 مسیریاب یا روتر از مجموع چند صد هزار مسیریاب شبکه کشور متاثر از حمله سایبری شب گذشته شده‌اند. همچنین عملکرد شرکت‌ها در دفع حمله و بازگردانی به شرایط عادی، مناسب ارزیابی شده، ولی ضعف در اطلاع‌رسانی مرکز ماهر به شرکت‌ها و نیز ضعف در پیکره‌بندی مراکز داده یا دیتاسنترها وجود داشته است.

آذری جهرمی اضافه کرد که به لحاظ بزرگی حمله اینترنتی شب گذشته، 2 درصد سهم کشور ما بوده و ایران از نظر حجم حمله، جزو 10 کشور اول جهان هم نبوده است. با این حال، یک شرکت ایرانی به نام رسپینا، ششمین شرکت جهان در اثرپذیری از این حمله سایبری بوده است.