دیشب چه بر سر زیرساخت‌های حیاتی اینترنت کشورمان آمد؟ (+ اطلاعیه وزارت ارتباطات)

Tachberdee کاربر طلایی1

تعداد پست ها : 4133

تاریخ عضویت : مهر 1391

اگر شب گذشته برخی از وب سایت و خدمات داخلی برای شما کار نمی کرد، باید بگوییم شما تنها نیستید. یک نقص امنیتی خطرناک در سوییچ‌های شبکه «سیسکو» (Cisco) به هکرها این امکان را داد تا برخی زیرساخت‌های حیاتی در برخی کشورها از جمله ایران را مختل کنند. در نتیجه این حملات برخی از وب سایت‌ها و سرویس‌های داخلی با اختلال مواجه شدند که وزیر ارتباطات نیز آن را تأیید کرد.

گزارش‌های تأیید شده نشان می‌دهد هکرها یک نقص امنیتی در پروتکل ارتباطی مورد استفاده در قابلیت Smart Install Client سوییچ‌های سیسکو را هدف گرفته‌اند که مدتی پیش وجود آن علنی شده بود اما حالا مشخص شده کمتر کسی آن را جدی گرفته است. در صورتی که Smart Install Client در سوییچ‌های سیسکو فعال باشد، در پس زمینه منتظر دریافت فرمان است که حالا هکرها توانسته‌اند از طریق اینترنت کنترل آن را به دست بگیرند. Smart Install Client یک ابزار برای گسترش سریع سوییچ‌های سیسکو است که می‌بایست فقط از طریق شبکه محلی در دسترس باشد اما هکرها توانسته‌اند از طریق اینترنت کنترل آن را به دست بگیرند.

برخی از وب سایت هایی که بر اثر حملات مختل شدند

پژوهشگران با اسکن کردن اینترنت بیش 168,000 سیستم آسیب پذیر در سراسر دنیا را شناسایی کرده‌اند اما یک گزارش که به سال 2016 بر می‌گردد، تعداد آن را 251,000 تخمین زده است. طبق گزارش هایی که شهرسخت افزار مستقلاً قادر به تایید آنها نیست، شب گذشته وب سایت های میزبانی شده توسط «افرانت، رسپینا، شاتل، آسیاتک، ارتباطات زیر ساخت، پارس آنلاین و صبا نت» بر اثر این حملات از دسترس خارج شدند.

سیسکو تأیید کرده است از ماه نوامبر 2017 میلادی شاهد رشد عظیم ترافیک بر روی درگاه TCP 4786 بوده که در آوریل 2018 به اوج رسیده است. رشد غیر معمول ترافیک می‌تواند به علت اسکن اینترنت برای یافتن سیستم‌های آسیب پذیر یا اجرای حملات باشد.
وزیر ارتباطات کشورمان، آقای جهرمی نقش فعالی در اطلاع رسانی در خصوص این واقعه داشت و از همان ساعات اولیه تأثیر پذیری برخی دیتا سنترها و زیرساخت‌ها را تأیید کرد.

بعدتر آقای جهرمی تصویری منتشر کرد که ترسیم پرچم ایالات متحده و ارتباط حملات با انتخابات رئیس جمهوری سال گذشته آمریکا را نشان می‌دهد.

در نهایت وزیر ارتباطات خبر از بازگشت بیش از 95 درصد مسیریاب‌های متأثر از حملات به حالت عادی و از سر گرفته شدن سرویس دهی داد.

اما اگر یک مدیر شبکه بخواهد از وضعیت Smart Install Client با خبر شود، کافی است فرمان vstack config را اجرا کند، نمونه آن را در زیر مشاهده می‌کنید:

switch#show vstack config | inc Role

Role: Client (SmartInstall enabled)

لازم به ذکر است بررسی کردن گزارش وقایع از اهمیت بالایی در شناسایی حملات احتمالی برخوردار است. آسان‌ترین راه برای غیر فعال کردن این قابلیت اجرای فرمان no vstack است. در صورتی هم که این امکان وجود نداشته باشد، محدود کردن دسترسی به رابط آن از طریق ACL می‌تواند کارساز باشد. نمونه آن را در زیر مشاهده می‌کنید:

ip access-list extended SMI_HARDENING_LIST

permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786

deny tcp any any eq 4786

permit ip any any

اما برخی کارشناسان امنیتی نیز توصیه کرده‌اند تا پایان حملات سوییچ‌های غیر ضروری یا غیر فعال از شبکه خارج شوند. سیسکو خود این آسیب پذیری را در ماه فوریه 2017 گزارش کرده بوده و بعدتر نسخه تازه‌ای از Smart Install Client منتشر شد اما حالا مشخص شده کمتری کسی آن را جدی گرفته است.

پژوهشگران می گویند این حملات توسط یک دولت سازمان دهی و اجرا شده است که انگشت اتهام به سوی روسیه نشانه رفته است. این حملات ضرورت غیر فعال کردن سرویس های غیر ضروری را نشان می دهد.

بیانیه وزارت ارتباطات