یورونیوز : به دنبال حمله سایبری گسترده به برخی مراکز داده ایران و از کار افتادن موقتی شمار زیادی از وبگاههای ایرانی، جزئیات تازهای از این رویداد کمپیشینه کشف و منتشر شد.
شب گذشته وزیر ارتباطات و فناوری اطلاعات با انتشار توئیتی از حمله گسترده به برخی مراکز داده کشور خبر داده بود.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) ایران با انتشار اطلاعیهای اعلام کرد در پی حملات سایبری شب گذشته هیچ دسترسی غیرمجازی به اطلاعات شهروندان اتفاق نیفتاده است.
ماهر اعلام کرد: «در پی بروز اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی در ساعت حدود ۲۰ و ۱۵ دقیقه ۱۷ فروردین ماه ۹۷ بررسی و رسیدگی فنی به موضوع انجام و مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندیهای این تجهیزات (شامل running-config و startup-config) حذف گردیده است.»
در اطلاعیه ماهر همچنین آمده است: «در موارد بررسی شده پیغامی با این مضمون در غالب startup-config مشاهده گردید: "دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بوده و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین میتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند."»
ماهر به مدیران سیستم توصیه میکند با استفاده از دستور«no vstack» نسبت به غیرفعالسازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچها و روترهای خود اقدام کنند. ماهر همچنین بستن پورت ۴۷۸۶ در لبه شبکه را نیز توصیه کرده و میافزاید در صورت نیاز به استفاده از ویژگی smart installلازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو صورت پذیرد.
محتوای قرار گرفته در تنظیمات startup-config روترهای آسیب دیده به شرح زیر است:
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیبپذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهندههای عمده اینترنت کشور مسدود شد.
ماهر اعلام کرده است که تا این لحظه، سرویسدهی شرکت ها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
شب گذشته ارتباط دیتاسنتر میزبان وب سایت خود مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل حل شد.
همچنین پیشبینی شده بود که با آغاز ساعت کاری سازمانها، ادارات و شرکتها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند. ماهر از مدیران سیستمهای آسیبدیده خواسته بود اقدامات زیر را انجام دهند:
با استفاده از کپی پشتیبان قبلی، اقدام به راهاندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیبپذیر smart install client را با اجرای دستور «no vstack» غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام شود و رمز عبور قبلی تجهیز تغییر داده شود.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای در پایان توصیه کرده است که در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود شود و اعلام کرده که متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان را منتشر خواهد کرد.
به گزارش خبرگزاری ایسنا سرهنگ علی نیکنفس، رئیس مرکز تشخیص سایبری پلیس فتا هم با اشاره به حمله سایبری شب گذشته با اشاره به اختلال رخ داده در سرویس اینترنت کشور گفته است: «بررسیهای اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از ۱۶۸ هزار ابزار فعال در شبکه اینترنت بوده است.»
وی افزود: «حدود یکسال قبل نیز شرکت مورد نظر هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور(smart install client) بر روی آنها فعال است را منتشر کرده بود».
دلیل نفوذپذیری مراکز داده ایران
به جز نقایص امنیت سایبری و «حفره»هایی که کارشناسان تاکنون از آنها به عنوان علت نفوذ هکرها به مراکز داده ایران نام بردهاند، عامل انسانی نیز در این ماجرا نقش داشته است.
علیرضا خراسانی در این زمینه در پایگاه خبری خبرآنلاین مینویسد: «غفلت ادمینها و مدیران مراکز داده در ایران به رغم هشدارهای بینالمللی داده شده، باعث شد تا زیرساختهای ارتباطاتی کشور اسیر حمله سایبری شود.»
این در حالی است که به گفته نویسنده این مقاله کمپانی سیسکو در روز ۲۸ مارس (۱۰ فروردین) وصله امنیتی برای رفع باگ روی سوئیچهای خود را منتشر کرد و روز ۲۹ مارس (۱۱ فروردین) نیز نسبت به در معرض خطر بودن ۱۶۸ هزار دستگاه از ۸.۵ میلیون دستگاه فروخته شده هشدار داد. وی در ادامه مینویسد: «با همه اینها ادمینهای ایرانی در خواب غفلت به سر برده و زمانی متوجه حمله شدند که کار از کار گذشته بود.»
علیرضا خراسانی با یادآوری «دیرمتوجه شدن مرکز ماهر»، مسئول رسمی پاسخگویی به حملات سایبری تحت عنوان مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای این مرکز را متهم کرده که هشدارها را «جدی نگرفته» و با نبستن پورت ۴۷۸۶ به هکرها اجازه نفوذ داده است.
در حمله سایبری جمعه شب از طریق باگ CVE-2018-0171 روی Smart Install سرویسدهی شرکتها و مراکز داده افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا دچار اختلال چند ساعته شد.
به نوشته خبرآنلاین، «حمله سایبری شب گذشته نشان داد زیرساختهای ارتباطاتی کشور علی رغم تعاریف مدیران آیتی از خود و پروپاگاندای توئیتری و اینستاگرامی، به شدت آسیب پذیر است.»
هنوز هیچ گونه اطلاع رسمی در مورد هویت مهاجمان سایبری و انگیزه آنان از حمله به مراکز داده ایران منتشر نشده است.