پلیس فتا ناجا:
هیچ گونه نشت اطلاعاتی در حمله اخیر سایبری رخ نداده است
رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا گفت: اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است.
به گزارش پایگاه اطلاعرسانی پلیس فتا، سرهنگ دوم علی نیکنفس افزود: این حمله سایبری ناشی از آسیبپذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچهای مورد استفاده در سرویس دهندههای اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب میشوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال نموده و قطع دسترسی کاربران این شبکهها را در پی داشته است.
نیکنفس ادامه داد: بررسیهای اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از 168000 ابزار فعال در شبکه اینترنت بوده است.
به گفته وی، حدود یکسال قبل نیز شرکت مزبور هشداری مبنی بر جستوجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور(smart install client) بر روی آنها فعال است را منتشر کرده بود.
رئیس مرکز تشخیص و پیشگیری پلیس فتا یادآورشد: اطلاعات کامل و جزئیات فنی مربوط به آسیبپذیری مزبور به همراه وصله امنیتی مربوطه، 10 روز قبل (هشتم فروردین) در آدرس:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
اعلام شده است.
به گفته سرهنگ نیکنفس، چنانچه قبلا نیز مکرراً تاکید شده است مسئولان فناوری اطلاعات سازمانها و شرکتها باید مستمراً رصد و شناسایی آسیبپذیریهای جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.
وی با بیان اینکه هکرها میتوانند با سوءاستفاده از آسیبپذیری شناسایی شده علاوهبر سرریز بافر به حذف و تغییر پیکربندی سوئیچها و روترهای سیسکو و کارانداختن خدمات آنها اقدام نمایند و همچنین قابلیت اجرای کد از راه دور بر روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه میشود مدیران شبکه سازمانها و شرکتها با استفاده از دستور»show vstack « به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور «no vstack» آنرا غیرفعال کنند.
رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا ادامه داد: به علاوه با توجه به اینکه حمله مزبور بر روی پورت4786 TCP صورت گرفته است لذا بستن ورودی پورت مزبور بر روی فایروالهای شبکه نیز توصیه میشود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.
نیکنفس خاطر نشان کرد: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعات تا این لحظه، سرویسدهی شرکتها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
وی ادامه داد: مدیران سیستمهای آسیب دیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راهاندازی مجدد تجهیزات خود نمایند یا در صورت عدم وجود کپی پشتیبان، راهاندازی و پیکربندی تجهیزات مجددا انجام پذیرد.این مسئول پلیس فتا با اشاره به اینکه قابلیت آسیبپذیر smart install client نیز با اجرای دستور «no vstack» غیرفعال شود، تاکید کرد: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام گردد. توصیه میشود در روتر لبه شبکه با استفاده از فهرست کنترل دسترسی(ACL ) ترافیک ورودی 4786 TCP نیز مسدود شود.
وی تاکید کرد: مسئولان فناوری اطلاعات سازمانها و شرکتها باید نسبت به بررسی مستمر آخرین آسیب پذیرهای سامانهها و ابزارها اقدام و نسبت به بروزرسانی و رفع نواقص احتمالی در اسرع وقت اقدام نمایند.
نیکنفس ادامه داد: بررسیهای اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از 168000 ابزار فعال در شبکه اینترنت بوده است.
به گفته وی، حدود یکسال قبل نیز شرکت مزبور هشداری مبنی بر جستوجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور(smart install client) بر روی آنها فعال است را منتشر کرده بود.
رئیس مرکز تشخیص و پیشگیری پلیس فتا یادآورشد: اطلاعات کامل و جزئیات فنی مربوط به آسیبپذیری مزبور به همراه وصله امنیتی مربوطه، 10 روز قبل (هشتم فروردین) در آدرس:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
اعلام شده است.
به گفته سرهنگ نیکنفس، چنانچه قبلا نیز مکرراً تاکید شده است مسئولان فناوری اطلاعات سازمانها و شرکتها باید مستمراً رصد و شناسایی آسیبپذیریهای جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.
وی با بیان اینکه هکرها میتوانند با سوءاستفاده از آسیبپذیری شناسایی شده علاوهبر سرریز بافر به حذف و تغییر پیکربندی سوئیچها و روترهای سیسکو و کارانداختن خدمات آنها اقدام نمایند و همچنین قابلیت اجرای کد از راه دور بر روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه میشود مدیران شبکه سازمانها و شرکتها با استفاده از دستور»show vstack « به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور «no vstack» آنرا غیرفعال کنند.
رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا ادامه داد: به علاوه با توجه به اینکه حمله مزبور بر روی پورت4786 TCP صورت گرفته است لذا بستن ورودی پورت مزبور بر روی فایروالهای شبکه نیز توصیه میشود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.
نیکنفس خاطر نشان کرد: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعات تا این لحظه، سرویسدهی شرکتها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
وی ادامه داد: مدیران سیستمهای آسیب دیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راهاندازی مجدد تجهیزات خود نمایند یا در صورت عدم وجود کپی پشتیبان، راهاندازی و پیکربندی تجهیزات مجددا انجام پذیرد.این مسئول پلیس فتا با اشاره به اینکه قابلیت آسیبپذیر smart install client نیز با اجرای دستور «no vstack» غیرفعال شود، تاکید کرد: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام گردد. توصیه میشود در روتر لبه شبکه با استفاده از فهرست کنترل دسترسی(ACL ) ترافیک ورودی 4786 TCP نیز مسدود شود.
وی تاکید کرد: مسئولان فناوری اطلاعات سازمانها و شرکتها باید نسبت به بررسی مستمر آخرین آسیب پذیرهای سامانهها و ابزارها اقدام و نسبت به بروزرسانی و رفع نواقص احتمالی در اسرع وقت اقدام نمایند.