آزمایشی
امنیت

حمله سایبری به زیر ساخت های اینترنت ایران شامگاه 17 فروردین 97

حمله سایبری به زیر ساخت های اینترنت ایران شامگاه 17 فروردین 97

دیشب در طی انجام یک حمله سایبری به روتر ها و سوییچ های دیتاسنتر های ایران برای مدتی اختلال در اینترنت و از دسترس خارج شدن برخی سایت ها را داشتیم


خبر از توئیت وزیر ارتباطات آقای آذری جهرمی شروع شد.


و بعد در ادامه حمله سایبری به دیتاسنتر های داخلی عبارت "با انتخابات ما کار نداشته باشید"و پرچم آمریکا داخل IOS  (سیستم عامل روترهای سیسکو) نمایش داده شده



و بعد ۹۵ درصد روتر (مسیریاب های شبکه) های متاثر از حمله (بخونید هک شده یا تغییر داده شده) به حالت اولیه بر گردادنده شدند البته هنوز بسیاری از سایت ها خارج از دسترس بودند


و بعد

▪️اطلاعیه مرکز ماهر در خصوص اختلال سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی

در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است.
دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر-سوئیچ اقدام نمایند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود.
در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.
جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.
تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.
همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند:
•  با استفاده از کپی پشتیبان قبلی،  اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
•  قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب  ندیده اند) انجام گردد.
•  رمز عبور قبلی تجهیز تغییر داده شود.
•  توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد.

متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.



خوب حالا دلیل چی بود و چرا این اتفاق افتاد ؟


⛔️ حمله سایبری دیشب و هک سیستم عامل روتر ها و اختلال در زیر ساخت های اینترنت
@Compunic

❗️سهل انگاری در آپدیت پچ های امنیتی عامل موفقیت این حمله بود

❕چندی پیش شرکت سیسکو با کشف باگی در سیستم عامل روتر های خود که باعث میشد بتوان کدی را از راه دور روی آن اجرا کرد و حافظه سیستم را تغییر داد

✅سیستم عامل روتر های سیسکو IOS که نباید با سیستم عامل آیفون که iOS هست اشتباه گرفته بشه یکی از توزیع های لینوکسی است که مختص مسیریابی و اعمال داخل سوییچ بهینه سازی شده و  چون این سوییچ در زیر ساخت و‌ ابزار ارتباطی شبکه های زیر ساختی استفاده می شوند باید بسیار دقیق و بلادرنگ باشند و برای زمان بندی و تقسیم وظایف نیاز به سیستم عامل دارند

@Compunic
✳️برای درک بهتر این مسئله مثالی میزنیم

0️⃣شما درخواست باز شدن یک صفحه از سایتی را میدهید

1️⃣این سایت روی یک کامپیوتر هاست یا میزبانی شده بعد از اینکه توسط سرویس DNS نام سایت به آدرس ای پی تبدیل شد (که خود بحثی مفصل می باشد که بعدا توضیح خواهیم‌داد)
یک آدرس آی پی دارید که متعلق به کامپیوتری می باشد

2️⃣کامپیوتر شما این آدرس را به سرور Gateway خود میفرستد و میگوید آیا این آدرس را میشناسی که دست کیه؟

3️⃣ سرور در خود یک‌ جدول دارد که آدرس آی پی و آدرس سخت افزاری MAC Address را در آن نوشته اگر داشت که پیام شما را به آن کامپیوتر رله کرده و ارتباط شما برقرار می شود

4️⃣اگر نبود میگه این آدرس را به سوئیچ بالاتر خود و یا سرور هایی که در لیست خود دارد میفرستد تا آنها نیز چک کنند در این مرحله نیز اتفاق مرحله قبل می افتد
@Compunic
✅البته چون ای پی ها منطقه بندی شده و هر آی پی معلوم است که به کدام کشور مربوط می شوند و در جدول آدرس های سوییچ ها با هوش مصنوعی یاد میگیرد که هر آی پی را حدودا می تواند کجا پیدا کند، تمام شبکه جستجو نمی شود وف قط سوییچ های خاصی جستجو میگردند
5️⃣و کامپیوتر مقصد پیدا شده و در هر مرحله آدرس طی شده به ته هد آدرس اضافه می شود و مسیر طی شده همراه خود بسته پیام موجود می باشد که در بازگشت دقیقا بر عکس همان مسیر طی شود

✳️حالا اگر بر خلاف تصور کامپیوتر در جای مورد انتظار پیدا نشود سوییچ به کامپیوتر های دیگر هم اطلاع میدهد که آیا این کامپیوتر در لیست شما می باشد یا نه که خود باعث کندی در باز شدن صفحه می شود
در اینجا دو حالت می تواند رخ دهد
1️⃣یا کامپیوتر مقصد پیدا شده و مسیر بازنویسی می شود و در استفاده های بعدی به این آدرس رجوع می شود و یا آدرس جدید پیدا نشده و پیام خطای ۴۰۴ بر میگردد
2️⃣البته ممکن است آدرس پیدا شود ولی کامپیوتر مقصد اجازه دسترسی ندهد که پیام خطای ۴۰۳ بر میگردد
@Compunic
3️⃣یا آدرس پیدا شود ولی با مشکل سرور مواجه شود که پیام خطای خانواده ۵۰۰ بر میگردد

4️⃣البته یک مورد دیگر که کامیپوتر پیدا شده و همه چیز درست است و پیام ۲۰۰ بر میگردد ولی ممکن است تا پاسخ سرور کمی طول بکشد که اگر بیش از حدی طول بکشد پیغام خطای request timed out می آید


✅پس به این دلیل است که گاهی در باز کردن صفحات با مشکل مواجه می شویم

❇️حالا اتفاقی که دیشب افتاد این بود که با استفاده از یک آسیب پذیری نرم افزاری که باید این کار ها را در داخل روتر یا مسریاب انجام بده  دستوراتش تغییر کرد و نمی تونست کار ها رو درست انجام بده
و باعث قطعی و بالا نیومدن سایت ها بشه.

❌آپدیت ها رو جدی بگیرید❌



برای اطلاع از خبر های لحظه ای دنیای کامپیوتر و شرح و آموزش در این موارد کانال تلگرام کامپیونیک[email protected] را دنبال کنید
 

خبر های مرتبط

❗️ چگونگی شناخت اکانت های فیک در اینستاگرم ؟
امنیت

❗️ چگونگی شناخت اکانت های فیک در اینستاگرم ؟