سرهنگ علی نیک‌نفس:

هیچ گونه نشت اطلاعاتی در پی حمله اخیر سایبری رخ نداده است

به گزارش نویدتهران، رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته، گفت: هیچ گونه دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است.

سرهنگ علی نیک‌نفس در تشریح این خبر، اظهار داشت: بررسی‌های اخیر تیم  تالوس  که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت بوده است.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا تصریح کرد: حدود یک‌سال قبل نیز شرکت مزبور هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزرهایی که قابلیت پیکربندی از راه دور (smart install client) بر روی آنها فعال است را منتشر کرده بود.

وی با اشاره به اینکه این حمله سایبری ناشی از آسیب پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده، گفت: با توجه به اینکه روترها و سوئیچ های مورد استفاده در سرویس دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوند، ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه‌ها را در پی داشته است.

این مقام ارشد انتظامی یادآورشد: اطلاعات کامل و جزئیات فنی مربوط به آسیب پذیری مزبور به همراه وصله امنیتی مربوطه، ده روز قبل( هشتم فروردین) در آدرس زیر https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed اعلام شده است.

به گفته سرهنگ نیک‌نفس چنانچه قبلا نیز مکرراً تاکید شده است مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید مستمراً رصد و شناسایی آسیب‌پذیری‌های جدید و برطرف کردن آنها را در دستور کار داشته باشند تا با چنین مشکلاتی رو به رو نشوند.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه هکرها می‌توانند با سوءاستفاده از آسیب‌پذیری شناسایی شده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوئیچ‌ها و روترهای سیسکو و از کارانداختن خدمات آنها اقدام کنند، افزود: همچنین می توانند قابلیت اجرای کد از راه دور بر روی آنها را نیز داشته باشند.

این مقام انتظامی تاکید کرد: در اقدام فوریتی توصیه می‌شود، مدیران شبکه سازمان‌ها و شرکت‌ها با استفاده از دستور”show vstack ” به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور  no vstack  آن‌ را غیرفعال کنند.

وی با بیان اینکه حمله مزبور بر روی پورت 4786TCP صورت گرفته است، افزود: بنابراین بستن ورودی پورت مزبور بر روی فایروال‌های شبکه نیز توصیه می‌شود.

نیک نفس ادامه داد: در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است به روز رسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو و برطرف کردن نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا گفت: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعات تا این لحظه، سرویس دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.

این مقام ارشد انتظامی با اشاره به اینکه پیش‌بینی می‌شود با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ‌داخلی خود شوند، گفت: لذا مدیران سیستم‌های آسیب دیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیزات خود کنند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و پیکربندی تجهیزات مجددا انجام پذیرد.

نیک‌نفس با تاکید بر اینکه قابلیت آسیب‌پذیری smart install client نیز با اجرای دستور “no vstack” غیر فعال شود، افزود: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام شود.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا خاطر نشان کرد: توصیه می‌شود در روتر لبه شبکه با استفاده ازفهرست کنترل دسترسی(ACL ) ترافیک ورودی 4786 TCP نیز مسدود شود.
وی تاکید کرد: پلیس فتا توصیه می کند که مجدد مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها نسبت به بررسی مستمر آخرین آسیب پذیرهای سامانه‎ها و ابزارها اقدام و نسبت به بروز رسانی و برطرف کردن نواقص احتمالی در اسرع وقت اقدام کنند .

نیک‌نفس در خاتمه یادآور شد: هرگونه اطلاعات تکمیلی در این خصوص از طریق سایت پلیس اطلاع رسانی خواهد شد.