شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 71 رأی - میانگین امتیازات: 3.11
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
شد افرانت حمله شناسایی سایبری آسیاتک ماهر رسپینا کشور روتر به سوئیچ شاتل سیسکو مراکز اکسپلویت داده datacenter hack cisco عامل attack هک

عامل حمله سایبری به مراکز داده کشور شناسایی شد
#1
شب گذشته برخی سرویس های مراکز داده داخلی دچار اختلال شدند. مرکز ماهر پس از بررسی این رویداد با انتشار بیانیه ای از عامل اصلی حمله سایبری به مراکز داده کشور پرده برداشت.
مرکز ماهر در خصوص اختلال سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی اطلاعیه ‌ای صادر کرد که به این شرح است:
«در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.
در طی بررسی اولیه مشخص شد حمله سایبری به مراکز داده کشور شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مضمون در غالب startup-config مشاهده گردید:

دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند. لازم است مدیران سیستم با استفاده از دستور “no vstack” نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است: 

دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده اینترنت کشور مسدود گردید.

تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته و اقدامات لازم جهت پیشگیری از رخداد ٰحمله سایبری به مراکز داده کشور انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت 4 بامداد مشکل رفع شد. همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند.
لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور “no vstack” غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.»

وزیر ارتباطات هم دیشب با تائید حمله سایبری به مراکز داده کشور نوشت: ‏امشب برخی از مراکز داده کشور با حمله سایبری مواجه شده‌اند. تعدادی از مسیریابهای کوچک به تنظیمات کارخانه‌ای تغییر یافته‌اند.
مرکز ماهر به یاری این مراکز داده،حمله را کنترل و در حال اصلاح شبکه‌های آنان به حالت طبیعی هستند. تلاشها برای ناامن جلوه دادن‌ها یک فرصت برای اصلاح اشکالهاست.

بررسی های اولیه حاکی از آن است که در تنظیمات مسیریاب های مورد حمله قرار گرفته، با حک پرچم ایالت متحده، اعتراضی درباره انتخابات آمریکا صورت گرفته است. دامنه حملات فراتر از ایران است. منشا حملات در دست بررسی است. تاکنون بیش از 95 درصد مسیریابهای متاثر از حمله به حالت عادی بازگشتند و سرویس دهی را از سر گرفتند.
پاسخ
 سپاس شده توسط saberi ، سحر ، نسیم ، tak ، soraya ، mesterweb


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
  حمله‌ی سایبری، تولید خودرو در گروه رنو - نیسان را متوقف کرد elshan 4 3,619 ۰۰/۴/۲۷، ۰۳:۵۶ عصر
آخرین ارسال: behvandshop
  حمله MITM یا مرد میانی چیست؟ saberi 4 1,826 ۹۹/۱/۲۴، ۱۱:۲۲ صبح
آخرین ارسال: elshan
  حمله سایبری به ایمیل های سازمانی در سطح کشور saberi 0 1,345 ۹۷/۳/۳، ۰۴:۲۴ صبح
آخرین ارسال: saberi
  آماده‌باش سازمان‌های امنیتی برای حملات سایبری روسیه به زیرساخت saberi 0 1,286 ۹۷/۲/۲۶، ۰۵:۱۸ صبح
آخرین ارسال: saberi
  حملات باج افزاری به سیستم اتوماسیون سازمان ها و مراکز اداری کشور farnaz 0 1,771 ۹۷/۲/۲۵، ۰۹:۵۴ عصر
آخرین ارسال: farnaz
  بدافزاری که به Microsoft word حمله می‌کند farnaz 0 1,359 ۹۷/۱/۱۰، ۱۱:۳۷ عصر
آخرین ارسال: farnaz
  پشت پرده حملات سایبری به روزنامه ها و سایتهای خبری در 22بهمن hoboot 0 1,891 ۹۶/۱۱/۲۲، ۰۷:۱۰ عصر
آخرین ارسال: hoboot
  جزئیات حمله سایبری به سایت روزنامه های کشور mesterweb 0 1,557 ۹۶/۱۱/۲۲، ۰۶:۵۳ عصر
آخرین ارسال: mesterweb
  شناسایی و حذف درب‌پشتی از سوئيچ‌های شبکه‌ای RackSwitch و BladeCenter توسط نگار 0 1,421 ۹۶/۱۱/۱۴، ۰۴:۳۹ صبح
آخرین ارسال: نگار
  هشدار آژانس امنیت سایبری انگلستان در مورد آنتی ویروس های روسی saberi 0 1,530 ۹۶/۹/۱۴، ۰۵:۳۵ صبح
آخرین ارسال: saberi

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان