حملات وسیع مراکز داده ایران را از کار انداخت

پروتکل معیوب مورد سوءاستفاده مربوط به کلاینت Cisco Smart Install بوده است و هکرها با دستکاری تنظیمات TFTP سرور، فایل‌هایی را از این طریق ارسال و جایگزین برخی فایل‌های دیگر کرده و فرامین مخرب خود را اجرا می‌کنند. برخی بررسی‌ها حاکی است عوامل این حملات هکری با برخی دولت‌های جهان در ارتباط هستند. تحقیقات موسسه امنیتی Embedi هم حاکی از آن است که پورت TCP ۴۷۸۶ برای این حمله به سوئیچ‌های سیسکو مورد سوءاستفاده قرار گرفته است. حملات یادشده در ایران موجب مشکلاتی در دسترسی به برخی وب‌سایت، اپ‌ها و خدمات تحت وب شد.  وزیر ارتباطات هم وقوع این حملات را تایید کرده و آن را اعتراضی درباره انتخابات آمریکا و فراتر از ایران توصیف کرده است. محمد جواد آذری جهرمی در پیام توئیتری پس از جلسه اضطراری بررسی حمله سایبری گفت: حدود ۳ هزار و ۵۰۰ مسیریاب(روتر) از مجموع چند صد هزار مسیریاب شبکه کشور از حمله متاثر شده‌اند. عملکرد شرکت‌ها در دفع حمله و بازگردانی به شرایط عادی، مناسب ارزیابی شده است. هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت نیز از این حمله در امان ماند. وی خاطرنشان کرد: ضعف در اطلاع رسانی مرکز ماهر به شرکت‌ها و نیز ضعف در پیکره بندی مراکز داده (دیتاسنترها) وجود داشته است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) به دنبال حملات سایبری جمعه شب اطلاعیه‌ای منتشر و اعلام کرده است این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های این تجهیزات (شامل running-config و startup-config) حذف شده است. لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعال‌سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) روی سوئیچ‌ها و روترهای خود اقدام کنند، همچنین بستن پورت ۴۷۸۶ در لبه‌ شبکه نیز توصیه می‌شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو صورت پذیرد. همچنین سرهنگ علی نیک نفس، رئیس مرکز تشخیص سایبری گفت: در حال حاضر هیچ‌گونه نشت اطلاعاتی رخ نداده است و اختلال تا حد زیادی روی سرویس‌دهنده‌های اصلی کشور بر طرف شده اما با آغاز ساعت کاری اول هفته برخی شرکت‌ها و سازمان‌ها متوجه اختلال خواهند شد که باید برای رفع آسیب‌پذیری آن اقدام کنند.

بنا بر گزارش وزارت ارتباطات در این خصوص، حمله مذکور ظاهرا به بیش از ۲۰۰ هزار روتر سوئیچ در کل دنیا صورت گرفته و حمله‌ای گسترده بوده است، در کشور ما حدود ۳۵۰۰ روتر سوئیچ مورد حمله واقع شده که ۵۵۰ فقره در تهران، ۱۷۰ فقره در استان سمنان و ۸۸ فقره در استان اصفهان بوده و بیشترین آسیب‌پذیری از نقطه تعداد در شرکت‌های رسپینا، ایزایران و شاتل رخ داده است. لیکن اختلال تعداد کمی روتر در برخی مراکز سرویس‌های پرکاربردی را از دسترس خارج کرد. همچنین شرکت سیسکو ۱۰ روز پیش موضوع آسیب‌پذیری روتر سوئیچ‌های مذکور را اعلام کرده بود. با این حال، به دلیل اینکه بسیاری از شرکت‌های خصوصی در ایام تعطیلات تغییر تنظیمات شبکه خود را در حالت فریز نگهداری می‌کنند و ضعف اطلاع‌رسانی به موقع از سوی مرکز ماهر و نبود پیکره‌بندی مناسب در مراکز داده و سرویس‌دهندگان فناوری اطلاعات مستقر در این مراکز داده، باعث تشدید عوارض این حمله شد.