جزئیات حمله سایبری به دیتاسنترهای ایران

شب گذشته به دلیل نقص امنیتی سوئیچ های سیسکو،  ۱۶۸ هزار رایانه در جهان مورد حمله قرار گرفتند. این حمله سایبری به دیتاسنترهای داخلی ایران نیز رسوخ کرده است. در همان زمان وزیر ارتباطات هم در صفحه توئیتر خود از حمله سایبری به دیتا سنترهای ایران خبر داد. آذری جهرمی گفت که برخی از مراکز داده کشور با حمله سایبری مواجه شده‌اند. تعدادی از مسیریاب های کوچک به تنظیمات کارخانه‌ای تغییر یافته‌اند. مرکز ماهر به یاری این مراکز داده، حمله را کنترل و در حال اصلاح شبکه‌های آنان به حالت طبیعی هستند. تلاشها برای ناامن جلوه دادن‌ها یک فرصت برای اصلاح اشکالهاست. او در توضیحات تکمیلی با اشاره به پرچم آمریکا که توسط هکرها در این حمله نمایش داده شده بود؛ دامنه حملات را فراتر از ایران معرفی کرد.

جهرمی در توضیحات بعدی خود اعلام کرد که حدود ۳۵۰۰ روتر از مجموع چند صد هزار روتر شبکه کشور متاثر از حمله شده اند. عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی، مناسب ارزیابی شده است. او همچنین افزود که ضعف در اطلاع رسانی مرکز ماهر به شرکت ها و نیز ضعف در پیکره بندی مراکز داده (دیتاسنترها) وجود داشته است. اما خوشبختانه هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بوده اند.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) در خصوص جزئیات این حمله سایبری اعلام کرد:

در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود ۲۰:۱۵ روز ۱۷ فروردین ماه جاری، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت Cisco بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل startup-config و running-config) حذف شده است. در موارد بررسی شده پیغامی با این مضمون در قالب startup-config مشاهده شد.

دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمان می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوئیچ اقدام کنند.

در این راستا لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) روی سوئیچ ها و روترهای خود اقدام کنند؛ همچنین بستن پورت ۴۷۸۶ در لبه‌ شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، نیز لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.

مرکز ماهر اعلام کرد که به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده اینترنت کشور مسدود شد. تا این لحظه، سرویس دهی شرکت ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش بینی می شود که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند.

لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند:

• با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
• قابلیت آسیب پذیر smart install client را با اجرای دستور «no vstack» غیر فعال شود.
• لازم است این تنظیم روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام شود. رمز عبور قبلی تجهیز تغییر داده شود.
• توصیه می شود در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود شود.

مرکز ماهر در پایان اعلام کرد که متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.