کد QR مطلبدریافت صفحه با کد QR

مرکز ماهر بررسی می‌کند

بروز اختلالات سراسری در مراکز داده

نفوذ از راه حفره امنیتی در تجهیزات سیسکو

مرکز ماهر , 18 فروردين 1397 ساعت 9:22

مرکز ماهر درباره اختلال سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی اطلاعیه‌ای صادر کرد.


مرکز ماهر درباره اختلال سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی اطلاعیه‌ای صادر کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی در ساعت حدود ۲۰:۱۵ شامگاه 17 فروردین‌ماه، بررسی و رسیدگی فنی موضوع در دستور کار مرکز ماهر قرار گرفت.

مرکز ماهر در اطلاعیه ای اعلام کرد که طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوییچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و همه پیکربندی‌های این تجهیزات شامل running-config و startup-config حذف شده‌است. در موارد بررسی‌شده پیغامی با این مزمون در قالب startup-config مشاهده شد:

دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستم‌عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب‌پذیری مذکور قرار دارد و مهاجمان می‌توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوییچ اقدام کنند. لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعال‌سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوییچ‌ها و روترهای خود اقدام کنند، همچنین بستن پورت ۴۷۸۶ در لبه‌ شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو صورت پذیرد.

جزییات فنی این آسیب‌پذیری و نحوه برطرف‌سازی آن در منابع زیر آمده‌است: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۷۰۲۱۴-smi
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۸۰۳۲۸-smi۲#fixed

در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب‌پذیری در لبه شبکه زیرساخت کشور و همچنین همه سرویس‌دهنده‌های عمده اینترنت کشور مسدود شد. تا این لحظه، سرویس‌دهی شرکت‌ها و مراکز داده بزرگ ازجمله افرانت، آسیاتک، شاتل، پارس‌آنلاین و رسپینا به‌صورت کامل به حالت عادی بازگشته‌است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده‌است.

لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب‌سایت مرکز ماهر نیز دچار مشکل شده‌بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش‌بینی می‌شود که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند؛ لذا لازم است که مدیران سیستم‌های آسیب‌دیده  اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و تنظیم تجهیز مجددا انجام‌شود. قابلیت آسیب‌پذیر smart install client را با اجرای دستور "no vstack" غیرفعال شود. لازم است این تنظیم بر روی همه تجهیزات روتر و سوییچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام‌شود. رمز عبور قبلی تجهیز تغییر داده‌شود. توصیه می‌شود در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود شود.

متعاقباً گزارش‌های تکمیلی در رابطه با این آسیب‌پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهدشد.

وزیر ارتباطات و فناوری اطلاعات نیز دقایقی پس از این اتفاق در توییتی اعلام کرد که: «‏تاکنون بیش از ۹۵ درصد مسیریاب‌های متاثر از حمله به حالت عادی بازگشتند و سرویس‌دهی را از سر گرفتند.»


کد مطلب: 13886

آدرس مطلب :
https://www.aftana.ir/news/13886/بروز-اختلالات-سراسری-مراکز-داده

افتانا
  https://www.aftana.ir