مرکز ماهر درباره اختلال سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی اطلاعیهای صادر کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در پی بروز اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی در ساعت حدود ۲۰:۱۵ شامگاه 17 فروردینماه، بررسی و رسیدگی فنی موضوع در دستور کار مرکز ماهر قرار گرفت.
مرکز ماهر در اطلاعیه ای اعلام کرد که طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوییچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و همه پیکربندیهای این تجهیزات شامل running-config و startup-config حذف شدهاست. در موارد بررسیشده پیغامی با این مزمون در قالب startup-config مشاهده شد:
دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستمعاملی که این ویژگی بر روی آن فعال باشد در معرض آسیبپذیری مذکور قرار دارد و مهاجمان میتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوییچ اقدام کنند. لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعالسازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوییچها و روترهای خود اقدام کنند، همچنین بستن پورت ۴۷۸۶ در لبه شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو صورت پذیرد.
جزییات فنی این آسیبپذیری و نحوه برطرفسازی آن در منابع زیر آمدهاست: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۷۰۲۱۴-smi
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۸۰۳۲۸-smi۲#fixed
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیبپذیری در لبه شبکه زیرساخت کشور و همچنین همه سرویسدهندههای عمده اینترنت کشور مسدود شد. تا این لحظه، سرویسدهی شرکتها و مراکز داده بزرگ ازجمله افرانت، آسیاتک، شاتل، پارسآنلاین و رسپینا بهصورت کامل به حالت عادی بازگشتهاست و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شدهاست.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وبسایت مرکز ماهر نیز دچار مشکل شدهبود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیشبینی میشود که با آغاز ساعت کاری سازمانها، ادارات و شرکتها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند؛ لذا لازم است که مدیران سیستمهای آسیبدیده اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راهاندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راهاندازی و تنظیم تجهیز مجددا انجامشود. قابلیت آسیبپذیر smart install client را با اجرای دستور "no vstack" غیرفعال شود. لازم است این تنظیم بر روی همه تجهیزات روتر و سوییچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجامشود. رمز عبور قبلی تجهیز تغییر دادهشود. توصیه میشود در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود شود.
متعاقباً گزارشهای تکمیلی در رابطه با این آسیبپذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهدشد.
وزیر ارتباطات و فناوری اطلاعات نیز دقایقی پس از این اتفاق در توییتی اعلام کرد که: «تاکنون بیش از ۹۵ درصد مسیریابهای متاثر از حمله به حالت عادی بازگشتند و سرویسدهی را از سر گرفتند.»