آرشیو خبر آرشیو خبر

اطلاعيه مرکز ماهر در خصوص اختلال سراسري در سرويس اينترنت و سرويس هاي مراکز داده داخلي

در پي بروز اختلالات سراسري در سرويس اينترنت و سرويس هاي مراکز داده داخلي در ساعت حدود 20:15 مورخ 97/1/17 ، بررسي و رسيدگي فني به موضوع انجام پذيرفت. در طي بررسي اوليه مشخص شد اين حملات شامل تجهيزات روتر و سوئيچ متعدد شرکت سيسکو بوده که تنظيمات اين تجهيزات مورد حمله قرار گرفته و کليه پيکربندي هاي اين تجهيزات (شامل running-config و startup-config) حذف گرديده است.

در پي بروز اختلالات سراسري در سرويس اينترنت و سرويس هاي مراکز داده داخلي در ساعت حدود 20:15 مورخ 97/1/17، بررسي و رسيدگي فني به موضوع انجام پذيرفت. در طي بررسي اوليه مشخص شد اين حملات شامل تجهيزات روتر و سوئيچ متعدد شرکت سيسکو بوده که تنظيمات اين تجهيزات مورد حمله قرار گرفته و کليه پيکربندي هاي اين تجهيزات (شامل running-config و startup-config) حذف گرديده است.
دليل اصلي مشکل، وجود حفره ي امنيتي در ويژگي smart install client تجهيزات سيسکو مي باشد و هر سيستم عاملي که اين ويژگي بر روي آن فعال باشد در معرض آسيب پذيري مذکور قرار داشته و مهاجمين مي توانند با استفاده از اکسپلويت منتشر شده نسبت به اجراي کد از راه دور بر روي روتر-سوئيچ اقدام نمايند.
لازم است مديران سيستم با استفاده از دستور "no vstack" نسبت به غيرفعال سازي قابليت فوق (که عموما مورد استفاده نيز قرار ندارد) بر روي سوئيچ ها و روترهاي خود اقدام نمايند، همچنين بستن پورت 4786 در لبه‌ي شبکه نيز توصيه مي شود.
در صورت نياز به استفاده از ويژگي smart install، لازم است بروزرساني به آخرين نسخه هاي پيشنهادي شرکت سيسکو صورت پذيرد.
جزييات فني اين آسيب پذيري و نحوه ي برطرف سازي آن در منابع زير آمده است:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

در اين راستا به محض شناسايي عامل اين رخداد، دسترسي به پورت مورد استفاده توسط اکسپلويت اين آسيب پذيري در لبه شبکه زيرساخت کشور و همچنين کليه سرويس دهنده هاي عمده ي اينترنت کشور مسدود گرديد.
تا اين لحظه، سرويس دهي شرکت ها و مراکز داده ي بزرگ از جمله افرانت، آسيا تک، شاتل، پارس آنلاين و رسپينا بصورت کامل به حالت عادي بازگشته است و اقدامات لازم جهت پيشگيري از تکرار رخداد مشابه انجام شده است.
لازم به توضيح است متاسفانه ارتباط ديتاسنتر ميزبان وب سايت مرکز ماهر نيز دچار مشکل شده بود که در ساعت ? بامداد مشکل رفع شد.
همچنين پيش بيني مي گردد که با آغاز ساعت کاري سازمان ها، ادارات و شرکت ها، شمار قابل توجهي از اين مراکز متوجه وقوع اختلال در سرويس شبکه ي داخلي خود گردند. لذا مديران سيستم هاي آسيب ديده لازم است اقدامات زير را انجام دهند:
•  با استفاده از کپي پشتيبان قبلي،  اقدام به راه اندازي مجدد تجهيز خود نمايند يا در صورت عدم وجود کپي پشتيبان، راه اندازي و تنظيم تجهيز مجددا انجام پذيرد.
•  قابليت آسيب پذير smart install client را با اجراي دستور "no vstack" غير فعال گردد. لازم است اين تنظيم بر روي همه تجهيزات روتر و سوئيچ سيسکو (حتي تجهيزاتي که آسيب  نديده اند) انجام گردد.
•  رمز عبور قبلي تجهيز تغيير داده شود.
•  توصيه مي گردد در روتر لبه شبکه با استفاده از ACL ترافيک ورودي 4786 TCP نيز مسدود گردد.

متعاقباً گزارشات تکميلي در رابطه با اين آسيب پذيري و ابعاد تاثيرگذاري آن در کشور و ساير نقاط جهان توسط اين مرکز منتشر خواهد شد.

تصاویر مرتبط
تاریخ انتشار مطلب: 18 فروردین 1397
بازدید ها: 344