به گزارش
خبرگزاری صدا و سیما ؛ مرکز ماهر در خصوص اختلال سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در اطلاعیه ای تصریح کرد : در بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و همه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف شده است.
دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر-سوئیچ اقدام کنند.
باید مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی این قابلیت (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام کنند ، همچنین بستن پورت 4786 در لبهی شبکه نیز توصیه می شود.
در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.
جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین همه سرویس دهنده های عمده اینترنت کشور مسدود شد.
تا این لحظه ، سرویس دهی شرکت ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که ساعت ۴ بامداد این مشکل رفع شد.
همچنین پیش بینی می شود با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود شود. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند:
• با استفاده از کپی پشتیبان قبلی، برای راه اندازی مجدد تجهیزات خود اقدام کنند یا در صورت نبود کپی پشتیبان ، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
• قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال کنید.
لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام شود.
• رمز عبور قبلی تجهیز تغییر داده شود.
• توصیه می شود در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود شود.
متعاقباً گزارش های تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.