جزییات حمله سایبری به دیتاسنترهای داخلی هیچ گونه نشت اطلاعاتی رخ نداد! مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای در خصوص حمله صورت گرفته به سرویسهای مراکز داده داخلی (دیتاسنتر) و بروز اختلال سراسری در سرویس اینترنت، اطلاعیهای صادر کرد. به گزارش مناقصهمزایده، بامداد شنبه برخی از مراکز داده کشور با حمله سایبری مواجه […]
جزییات حمله سایبری به دیتاسنترهای داخلی
هیچ گونه نشت اطلاعاتی رخ نداد!
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای در خصوص حمله صورت گرفته به سرویسهای مراکز داده داخلی (دیتاسنتر) و بروز اختلال سراسری در سرویس اینترنت، اطلاعیهای صادر کرد.
به گزارش مناقصهمزایده، بامداد شنبه برخی از مراکز داده کشور با حمله سایبری مواجه شدهاند؛ این موضوع از سوی وزیر ارتباطات تأیید شد.
در این زمینه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (مرکز ماهر) با تشریح جزییات این حمله سایبری اعلام کرد: در پی بروز اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی در ساعت حدود ۲۰: ۱۵ روز ۱۷ فروردین ماه جاری، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.
طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوییچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندیهای این تجهیزات (شامل running-config و startup-config) حذف شده است. در موارد بررسی شده پیغامی با این مذمون در قالب startup-config مشاهده شد.
دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیبپذیری مذکور قرار داشته و مهاجمان میتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوییچ اقدام کنند.
در این راستا لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعالسازی قابلیت فوق (که عموماً مورد استفاده نیز قرار ندارد) روی سوییچها و روترهای خود اقدام کنند؛ همچنین بستن پورت ۴۷۸۶ در لبه شبکه نیز توصیه میشود. در صورت نیاز به استفاده از ویژگی smart install، نیز لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو صورت پذیرد.
در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیبپذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویسدهندههای عمده اینترنت کشور مسدود شد.
در حال حاضر سرویسدهی شرکتها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا بهصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متأسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.
دزدی اطلاعات ؟!
رییس مرکز تشخیص سایبری گفت: در حال حاضر هیچگونه نشت اطلاعاتی رخ نداده است و اختلالات تا حد زیادی رفع شد.
علینیکنفس در خصوص حمله اینترنتی که مرکز ماهر اعلام کرده بود، در شبکه خبر گفت: این حمله سایبری ناشی از آسیب پذیری در قابلیت پیکره بندی از راه دور تجهیزات سیسکو بوده است.
وی با بیان اینکه اطلاعات و جزییات فنی مربوط به رفع این آسیبپذیری، از ۱۰ روز قبل توسط این شرکت اعلام شده بود در سایت پلیس فتا و مرکز ماهر وجود دارد، افزود: مشکلی که ایجاد شده صرفاً با رخ دادن روترها و سوییچهای سیسکو در شبکه بوده؛ طبیعی است کندی و قطع ارتباطات اینترنت را برای کاربران شرکتها در پی داشته باشد اما هیچ نوع دسترسی به اطلاعات و نشت اطلاعات رخ نداده است.
نیک نفس با تأکید بر اینکه بنابراین جای نگرانی نیست، خاطرنشانکرد: اما شرکتهایی که از این نوع تجهیزات استفاده میکنند در بستر شبکه باید به سرعت اقدام به رفع آسیبپذیری کنند که برای غیرفعالسازی و بستن پورت ۴۷۸۶TCP در سایت پلیس فتا کامل توضیح داده شده است.
رییس مرکز تشخیص سایبری ادامه داد: اختلال تا حد زیادی روی سرویسدهندههای اصلی کشور بر طرف شده اما با آغاز ساعت کاری اول هفته برخی شرکتها و سازمانها متوجه اختلال خواهند شد که باید برای رفع آسیبپذیری آن اقدام کنند.
این مطلب بدون برچسب می باشد.
دیدگاه بسته شده است.