یکشنبه ۳۰ اردیبهشت ۱۴۰۳

اطلاعیه وزارت ارتباطات درخصوص حمله سایبری به تجهیزات سیسکو

حمله سايبري

شنبه ۱۸ فروردین ۱۳۹۷ - ۱۶:۳۰:۰۰


وزیر ارتباطات و فناوری اطلاعات با بیان اینکه هسته شبکه ملی اطلاعات از حمله سایبری شب گذشته - 17فروردین - در امان بوده، بر وجود ضعف در اطلاع‌رسانی مرکز ماهر به شرکت‌ها و نیز ضعف در پیکره‌بندی مراکز داده تاکید کرده است.

وایمکس نیوز- محمدجواد آذری جهرمی امروز با انتشار توئیتی اعلام کرد که جلسه اضطراری بررسی حمله شب گذشته خاتمه یافته و تا ساعاتی دیگر بیانیه رسمی نتایج از سوی روابط عمومی وزارت ارتباطات منتشر خواهد شد.

وی همچنین اعلام کرد که هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات  از حمله در امان بوده‌اند.

آذری جهرمی همچنین اعلام کرده که حدود 3500 مسیریاب از مجموع چندصد هزار مسیریاب شبکه کشور متاثر از حمله شده‌اند. عملکرد شرکت‌ها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است؛ ضعف در اطلاع‌رسانی مرکز ماهر به شرکت‌ها و نیز ضعف در پیکره‌بندی مراکز داده وجود داشته است.

شب گذشته برخی مراکز داده کشور با حمله سایبری مواجه شدند که وزیر ارتباطات همان لحظه با انتشار توئیتی گفت که تعدادی از مسیریاب‌های کوچک به تنظیمات کارخانه‌ای تغییر یافته‌اند. مرکز ماهر با یاری رساندن به این مراکز داده حمله را کنترل و در حال اصلاح شبکه‌های آنان و برگرداندن وضعیت به حالت طبیعی است.

همچنین به گفته رئیس مرکز تشخیص سایبری این آسیب‌پذیری حدود 10 روز قبل توسط این شرکت اعلام و رسانه‌ای شده بود که اطلاعات آن در سایت پلیس فتا و مرکز ماهر موجود است.

اما بررسی‌های مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) هم نشان داده که این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مضمون در غالب startup-config مشاهده گردید:

دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بوده و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.

در همین ارتباط مرکز روابط عمومی و اطلاع رسانی وزارت ارتباطات و فناوری اطلاعات، با توجه به وقوع حمله سایبری شب گذشته موارد زیر را جهت تنویر افکار عمومی اعلام کرد:

1- جمعه هفدهم فروردین ماه حدود ساعت 21 برخی از سرویس‌های میزبانی شده در مراکز داده داخل کشور از دسترس خارج شدند.

2- پس از اطلاع، تیم اقدام سریع تشکیل و موضوع به سرعت بررسی و مشخص شد حمله سایبری به برخی از روترسوئیچ ها کم ظرفیت سیسکو که آسیب پذیر بوده اند صورت گرفته و این روترها به حالت تنظیم کارخانه ای بازگشته اند.

3- حمله مذکور ظاهراً به بیش از 200 هزار روتر سوئیچ در کل دنیا صورت گرفته و حمله ای گسترده بوده است، در کشور ما حدود 3500 روتر سوئیج مور حمله واقع شده که 550 فقره در تهران، 170 فقره استان سمنان، 88 فقره استان اصفهان بوده و بیشترین آسیب پذیری از نقطه تعداد در شرکت های رسپینا، ایزایران و شاتل رخ داده است، لیکن اختلال تعداد کمی روتر در برخی مراکز سرویس های پرکاربردی را از دسترس خارج کرد.

4- با تشکیل گروه های واکنش سریع و تلاش همه متخصصان و فعالان همه شرکت ها به سرعت اقدمات اجرایی آغاز شد و با توجه به اینکه برای فعالیت مجدد روترها نیاز به حضور فیزیکی کارشناسان بود با اقدام به موقع تاساعت 24 بیش از 95 درصد شبکه به حالت اولیه برگشت.

5- خوشبختانه با توجه به پیش بینی های لازم در زیرساخت ارتباطی کشور شبکه زیرساخت دچار هیچ اختلالی نشد و کمترین اختلال نیز در سه اپراتور تلفن همراه مراکز داده شرکت های پارس آنلاین و تبیان گزارش شد.

6- در خصوص منشا حمله از طریق مراکز بین المللی پیگیری لازم صورت می گیرد لیکن با توجه به اینکه در این حمله از پرچم کشور آمریکا و شعاری در خصوص عدم دخالت در انتخابات این کشور استفاده شده و همچنین زمان وقوع حمله که جمعه شب بوده است به نظر می رسد منشاء حمله از منطقه خاورمیانه نبوده است.

7- شرکت سیسکو 10 روز پیش موضوع آسیب پذیری روتر سوئیچ های مذکور را اعلام کرده بود لیکن به دلیل اینکه بسیاری از شرکت های خصوصی در ایام تعطیلات تغییر تنظیمات شبکه خود را  در حالت فریز نگه داری می کنند و همچنین عدم اطلاع‌رسانی تاکیدی مرکز ماهر و عدم هشدار به این شرکت‌ها برای به‌روزرسانی تنظیمات شبکه خود منجر به آسیب پذیری شبکه این شرکت ها شد.

8- بر اساس اعلام مرکز ماهر، مرکز آپای دانشگاه همدان پیش از وقوع حمله موضوع را در دست تحلیل و پایش داشته و منتظر تکمیل پایش تجهیزات کشور بوده که متاسفانه قبل از تکمیل گزارش نهایی حمله مذکور اتفاق افتاد.

9- آنچه مشخص است در این حمله ظاهراً سازمان یافته علیرغم وجود نقاط مثبتی همچون واکنش سریع، عدم تاثیر پذیری هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت، عدم اختلال جدی شبکه سه اپراتور تلفن همراه و برخی از FCP ها، متاسفانه ضعف اطلاع رسانی به موقع توسط مرکز ماهر و عدم وجود پیکره بندی مناسب در مراکز داده و سرویس دهندگان فناوری اطلاعات مستقر در این مراکز داده باعث تشدید عوارض این حمله شد و بر همین اساس اصلاحات لازم در  مجموعه های مرتبط و نیز تذکرات لازم به بخش خصوصی اجرایی می شود.

دیدگاه ها و نظرات :

captcha
ارسال
اشتراک گذاری مطالب

آخرین مطالب آرشیو

پربیننده‌ترین مطالب آرشیو