چگونه دیشب زیرساخت اینترنت ایران مورد حمله گسترده سایبری قرار گرفت؟
دیشب و در آخرین ساعتهای روز ۱۷ فروردین، زیرساخت اینترنت در سراسر جهان مورد حمله گسترده سایبری قرار گرفت. در چندین کشور از جمله ایران، این حمله هکری باعث اختلال در مراکزداده ایرانی شد تا مدیران شبکه تصمیم به خاموش کردن آنها یا برگرداندن نسخههای پشتیبان بگیرند.
در همان ساعتهای اولیه اختلال در اینترنت و مراکزداده؛ وزیر ارتباطات با یک توییت این حمله را مورد تایید قرار داد. ظاهرا هکرها توانسته بودندبه درون روترهای برخی مراکزداده ایرانی نفوذ کرده و آنها را به تنظیمات پیشفرض یا کارخانه برگردانند و البته پرچم ایالات متحده را نیز در کنسول این روترها حک کنند:
البته، محمدجواد آذری جهرمی خیلی سریع در توییت دیگری اعلام کرد، مشکل روترها و مراکزداده برطرف شده و بسیاری از اختلالات به حالت عادی برگشته است:
صبح امروز هم کارشناسان مرکز ماهر و رئیس مرکز تشخیص سایبری اعلام کرد در حمله گسترده سایبری دیشب هیچگونه نشت اطلاعات یا دسترسی نامتعارف و غیرمجازی رخ نداده است و کاربران ایرانی از این جهت خیالشان آسوده باشد.
آسیبپذیری روترهای سیسکو
اما سوال اساسی این است که چگونه یک حمله سایبری توانسته به این سرعت زیرساخت اینترنت ایران را مختل و به درون روترهای مراکزداده نفوذ کند؟ برخی از سایتهای خارجی و همینطور گزارشهای اولیه مرکز ماهر جواب این سوال را دادهاند:
تقریبا ۲۹ مارس (حدود یک هفته پیش) بود که چندین شرکت امنیتی (از جمله تالوس سکیوریتی) از یک آسیبپذیری بزرگ در روترهای سیسکو پردهبرداری کردند. این آسیبپذیری روی ۲۵۰ هزار سوییچ و روتر سیسکو مشاهده شده و به مالکان آنها گزارش داده شده است.
این آسیبپذیری امنیتی در پروتکل Smart Install اتفاق افتاده است و به هکرها اجازه میدهد از طریق پورت باز ۴۷۸۶ به کنسول سوییچهای سیسکو دسترسی پیدا کنند و آنها را خاموش یا به تنظیمات پیشفرض برگردانند.
به طور دقیقتر، هکرها توانستهاند به تنظیمات TFTP سرور دسترسی پیدا کنند و با دستکاری و پیکربندی مجدد این فایل، یک ایمیج IOS جدید را در حسابهای کاربری نصب سوییچ جایگزین فایل IOS قبلی کنند.
این دستکاریها باعث شده به راحتی دستورات IOS را روی سوییچهای سیسکو اجرا کنند.
تاخیر در بهروزرسانی سوییچها
همانطور که گفتیم، خوشبختانه مدیران شبکه به سرعت توانستند نسخههای پشتیبان را اجرا کرده و سوییچهای مراکزداده را به حالت عادی برگردانند. حمله دیشب در چندین کشور انجام شده و هنوز عاملان یا اهدافشان به طور کامل مشخص و اعلام نشده است.
واضح است اگر مدیران شبکه در این مدت برملا شدن آسیبپذیری پرخطر سوییچهای سیسکو؛ آن را جدی گرفته و سریعا بستههای بهروزرسانی و امنیتی را نصب میکردند؛ جلوی این حمله به طور عادی گرفته میشد.
یکی از کارشناسان فنی مراکزدادهای که مورد حمله قرار گرفته است؛ در پاسخ به این سوال که چرا زودتر بستههای امنیتی نصب نشدهاند به خبرنگاران گفته است:
«تعداد آپدیتهایی که برای اینگونه تجهیزات دریافت میکنیم زیاد است. برای تجهیزاتی که استفاده میکنیم، روزانه بین ۳۰۰ الی ۵۰۰ به روز رسانی دریافت میکنیم. شرکتهای بزرگ نمیتوانند به محض دریافت بهروز رسانی، آن را نصب کنند، چرا که خود به روز رسانی هم باعث اختلال میشود. از طرفی پیش از نصب، حتما باید به روز رسانیها را در فضای آزمایشگاهی نصب کنیم و مطمئن شویم که مشکلی وجود ندارد، سپس میتوانیم آن را وارد سیستم کنیم. آپدیت سریع با فاصله کوتاه ممکن نیست چرا که گاهی، ریسک بعضی از به روز رسانیها از خود آسیبپذیریها بالاتر بوده و این تجربه بارها برای ما تکرار شده است.»
شرکت سیسکو نیز در وبلاگ خود گزارش داده این حمله از ۵ آوریل (۱۶ فروردین) در سراسر جهان آغاز شده و تا کنون حدود ۱۶۸ هزار سیستم تحت تاثیر قرار گرفتند. البته، این آمارها پیش از حملات دیشب به مراکزداده و سوییچهای ایرانی است.
وزیر ارتباطات هم گزارش داده در ایران تنها ۳۵۰۰ روتر سیسکو از چند صد هزار دستگاهی که فعال بودند؛ مورد حمله قرار گرفتند. به علاوه، اپراتورهای موبایل به طور کامل از این حمله سایبری در امان بودند.
درسته که به روز رسانیها خودش ممکنه باعث مشکل بشه ولی نمیشد در این مورد خاص پورت رو ببندند؟!
ممنون، جدای از خبر:
توییت!
برخی وب سایت ها مشابه ایرانی دارند، مثلا منطقی است که برای حمایت از آپارات و نماشا و ویدانما و … یوتیوب بسته باشد و لینک ها به آن ها داده شود تا در آن ها بارگذاری شود
اما توئیتر، پینترست و خیلی موارد دیگر مشابه ایرانی ندارد، اینستاگرام غیر مفید ترین شبکه ی اجتماعی و یوتیوب مفید ترین آن هاست اما فیلتر است.
کی این تعارف یا رودربایستی الکی برداشته می شود و فیلترهای هوشمند میشود؟