به گزارش مشرق، سرهنگ نیکنفس رئیس مرکز تشخیص و پیشگیری پلیس فتای نیروی انتظامی با بیان اینکه اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است، گفت: این حمله سایبری ناشی از آسیبپذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچهای مورد استفاده در سرویس دهندههای اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب میشوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را بهصورت سراسری دچار اختلال نموده و قطع دسترسی کاربران این شبکهها را در پی داشته است.
رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا تصریح کرد: بررسیهای اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از 168000 ابزار فعال در شبکه اینترنت بوده است.
وی افزود: حدود یکسال قبل نیز شرکت مزبور هشداری مبنی بر جستوجوی گسترده هکرها بهدنبال ابزارهایی را که قابلیت پیکربندی از راه دور (smart install client) بهروی آنها فعال است منتشر کرده بود.
بیشتر بخوانید:
توضیحات وزیر ارتباطات درباره حمله سایبری دیشب
این مقام ارشد انتظامی یادآورشد: اطلاعات کامل و جزئیات فنی مربوط به آسیبپذیری مزبور بههمراه وصله امنیتی مربوطه، ده روز قبل (هشتم فروردین) در آدرس زیر https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed اعلام شده است.
بهگفته نیکنفس چنانچه قبلاً نیز مکرراً تاکید شده است مسئولان فناوری اطلاعات سازمانها و شرکتها باید مستمراً رصد و شناسایی آسیبپذیریهای جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.
رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا با بیان اینکه هکرها میتوانند با سوءاستفاده از آسیبپذیری شناساییشده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوئیچها و روترهای سیسکو و کارانداختن خدمات آنها اقدام نمایند و همچنین قابلیت اجرای کد از راه دور بهروی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه میشود مدیران شبکه سازمانها و شرکتها با استفاده از دستور "show vstack" به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور "no vstack" آن را غیرفعال کنند.
وی ادامه داد: بهعلاوه با توجه به اینکه حمله مزبور بهروی پورت 4786TCP صورت گرفته است لذا بستن ورودی پورت مزبور بهروی فایروالهای شبکه نیز توصیه میشود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیشگفته انجام شود.
سرهنگ نیکنفس گفت: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعات تا این لحظه، سرویسدهی شرکتها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بهصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
این مقام ارشد انتظامی ادامه داد: همچنین پیشبینی میگردد که با آغاز ساعت کاری سازمانها، ادارات و شرکتها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود گردند، لذا مدیران سیستمهای آسیبدیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راهاندازی مجدد تجهیزات خود نمایند یا در صورت عدم وجود کپی پشتیبان، راهاندازی و پیکربندی تجهیزات مجدداً انجام پذیرد.
سرهنگ نیکنفس با اشاره به اینکه قابلیت آسیبپذیر smart install client نیز با اجرای دستور "no vstack" غیرفعال گردد، تأکید کرد: لازم است این تنظیم بهروی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام گردد. توصیه میگردد در روتر لبه شبکه با استفاده از فهرست کنترل دسترسی (ACL) ترافیک ورودی 4786 TCP نیز مسدود گردد.
وی یادآور شد: مجدداً تأکید میگردد که مسئولان فناوری اطلاعات سازمانها و شرکتها باید نسبت به بررسی مستمر آخرین آسیبپذیرهای سامانهها و ابزارها اقدام و نسبت به بروزرسانی و رفع نواقص احتمالی در اسرع وقت اقدام کنند.
سرهنگ نیکنفس در پایان گفت: هرگونه اطلاعات تکمیلی در این خصوص از طریق سایت پلیس فتا اطلاعرسانی خواهد شد.
