صفحه نخست دانش و فن آوری اطلاعات
  • انتشار : 18 - فروردین - 1397 - ۱۲:۰۴
  • کد خبر : 44480

    • جزییات حمله سایبری به دیتاسنترهای داخلی

    جزییات حمله سایبری به دیتاسنترهای داخلی هیچ گونه نشت اطلاعاتی رخ نداد! مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای در خصوص حمله صورت گرفته به سرویس‌های مراکز داده داخلی (دیتاسنتر) و بروز اختلال سراسری در سرویس اینترنت، اطلاعیه‌ای صادر کرد. به گزارش مناقصه‌مزایده، بامداد شنبه برخی از مراکز داده کشور با حمله سایبری مواجه […]

  • انتشار : 18 - فروردین - 1397 - ۱۲:۰۴
  • کد خبر : 44480

    • جزییات حمله سایبری به دیتاسنترهای داخلی

    هیچ گونه نشت اطلاعاتی رخ نداد!

    مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای در خصوص حمله صورت گرفته به سرویس‌های مراکز داده داخلی (دیتاسنتر) و بروز اختلال سراسری در سرویس اینترنت، اطلاعیه‌ای صادر کرد.

    به گزارش مناقصه‌مزایده، بامداد شنبه برخی از مراکز داده کشور با حمله سایبری مواجه شده‌اند؛ این موضوع از سوی وزیر ارتباطات تأیید شد.

    در این زمینه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (مرکز ماهر) با تشریح جزییات این حمله سایبری اعلام کرد: در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی در ساعت حدود ۲۰: ۱۵ روز ۱۷ فروردین ماه جاری، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.

    طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوییچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های این تجهیزات (شامل running-config و startup-config) حذف شده است. در موارد بررسی شده پیغامی با این مذمون در قالب startup-config مشاهده شد.

    دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیب‌پذیری مذکور قرار داشته و مهاجمان می‌توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوییچ اقدام کنند.

    در این راستا لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعال‌سازی قابلیت فوق (که عموماً مورد استفاده نیز قرار ندارد) روی سوییچ‌ها و روترهای خود اقدام کنند؛ همچنین بستن پورت ۴۷۸۶ در لبه‌ شبکه نیز توصیه می‌شود. در صورت نیاز به استفاده از ویژگی smart install، نیز لازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو صورت پذیرد.

    در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب‌پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس‌دهنده‌های عمده اینترنت کشور مسدود شد.

    در حال حاضر سرویس‌دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا به‌صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.

    لازم به توضیح است متأسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.

    دزدی اطلاعات ؟!

    رییس مرکز تشخیص سایبری گفت: در حال حاضر هیچ‌گونه نشت اطلاعاتی رخ نداده است و اختلالات تا حد زیادی رفع شد.

    علی‌نیک‌نفس در خصوص حمله اینترنتی که مرکز ماهر اعلام کرده بود، در شبکه خبر گفت: این حمله سایبری ناشی از آسیب پذیری در قابلیت پیکره بندی از راه دور تجهیزات سیسکو بوده است.

    وی با بیان این‌که اطلاعات و جزییات فنی مربوط به رفع این آسیب‌پذیری، از ۱۰ روز قبل توسط این شرکت اعلام شده بود در سایت پلیس فتا و مرکز ماهر وجود دارد، افزود: مشکلی که ایجاد شده صرفاً با رخ دادن روتر‌ها و سوییچ‌های سیسکو در شبکه بوده؛ طبیعی است کندی و قطع ارتباطات اینترنت را برای کاربران شرکت‌ها در پی داشته باشد اما هیچ نوع دسترسی به اطلاعات و نشت اطلاعات رخ نداده است.

    نیک نفس با تأکید بر این‌که بنابراین جای نگرانی نیست، خاطرنشان‌کرد: اما شرکت‌هایی که از این نوع تجهیزات استفاده می‌کنند در بستر شبکه باید به سرعت اقدام به رفع آسیب‌پذیری کنند که برای غیرفعال‌سازی و بستن پورت ۴۷۸۶TCP در سایت پلیس فتا کامل توضیح داده شده است.

    رییس مرکز تشخیص سایبری ادامه داد: اختلال تا حد زیادی روی سرویس‌دهنده‌های اصلی کشور بر طرف شده اما با آغاز ساعت کاری اول هفته برخی شرکت‌ها و سازمان‌ها متوجه اختلال خواهند شد که باید برای رفع آسیب‌پذیری آن اقدام کنند.

    برچسب ها

    این مطلب بدون برچسب می باشد.