حملات شب گذشته به سرورهای HP قربانی گرفت

/در , , , , , /توسط
حملات سایبری شب گذشته به سرورهای شرکت HP از طریق درگاه مدیریتی Ilo صورت گرفته است.
 
 
 
مرکز ماهر با بیان اینکه طی 24 ساعت گذشته رصد فضای مجازی نشان داده حملاتی مبتنی بر آسیب‌پذیری‌های موجود در سرویس iLo سرورهای HP بوده است، اظهار کرد: سرویس iLo یک درگاه مستقل فیزیکی است که برای مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده می‌شود.
 
این سرویس حتی در صورت خاموش بودن سرورها به مهاجم قابلیت راه‌اندازی مجدد و دسترسی غیرمجاز را می‌دهد؛ حملات مذکور روی نسخه‌های مختلف مانند iLO 2 و iLO 3 و iLO 4 مشاهده شده است.
 
اقدامات کلی که در مقابله با این حملات به عمل آمده نیز به شرح زیر بوده است:
 
‌ با اعلام حمله باج‌‌افزاری از سوی یکی از قربانیان از وقوع نوع جدیدی از حمله باج‌افزاری بر روی درگاه‌های iLO اطمینان حاصل شد.
• بررسی‌های بیشتر برای شناسایی قربانیان حمله انجام شده و با تعدادی از قربانیان در ایران و کشورهای دیگر برای بررسی بیشتر، تماس حاصل شده است.
• رصد فضای آدرس IP کشور بر روی درگاه‌های iLO انجام گرفت و سرورهای آسیب‌پذیر شناسایی شدند؛ با شماری از صاحبان این سرویس‌ بر روی بستر اینترنت که در معرض تهدید هستند تماس گرفته و هشدار لازم ارائه شد.
 
با توجه به اینکه ممکن است هنوز این ضعف در سرورها وجود داشته باشد جدی گرفتن توصیه‌های امنیتی حائز اهمیت است.
 
دسترسی درگاه‌های iLo از طریق شبکه اینترنت بر روی سرورهای HP مسدود شد؛ توصیه اکید شده است در صورت نیاز و استفاده از iLO، با استفاده از راهکارهای امن نظیر ارتباط VPN اتصال مدیران شبکه به این‌گونه سرویس‌دهنده‌ها برقرار شود.

حمله گروه APT به سرور شرکت‌های بخش صنعتی و انرژی

/در , , , , , , /توسط
به تازگی یک گروه APT با عنوان Energetic Bear/Crouching Yeti سرورهای شرکت‌های مختلف بخش صنعت و انرژی را مورد هدف قرار داده است. این گروه که از سال ۲۰۱۰ فعالیت می‌کند، شرکت‌های مختلفی در سراسر جهان را مورد حمله قرار داده است.
 
به گزارش ایسنا، تمرکز بیشتر حملات این گروه روی کشورهای اروپایی و آمریکا بوده است. همچنین، در سال ۲۰۱۶ و ۲۰۱۷ تعداد حملات این گروه روی سرورهای کشور ترکیه رشد قابل توجهی داشته است.
 
اما رویکردهای اصلی این گروه شامل ارسال ایمیل‌های فیشینگ حاوی اسناد مخرب و آلوده‌سازی سرورهای مختلف است. این گروه از از سرورهای آلوده به منظور استقرار ابزارهای گوناگون و در برخی موارد جهت اجرای حملات waterhole استفاده می‌کنند. waterhole به حمله‌ای گفته می‌شود که مهاجم سایت‌هایی که فرد یا گروه‌های قربانی بطور روزمره بازدید می‌کند را با بدافزار آلوده می‌کند.
 
باتوجه به گزارش کسپرسکی، قربانیان حملاتی که اخیرا صورت گرفته است فقط محدود به شرکت‌های صنعتی نمی‌شود و روسیه، اکراین، انگلستان، آلمان، ترکیه، یونان و آمریکا را شامل می‌شود. به عنوان مثال نوع سرورهایی که در کشور روسیه مورد هدف قرار گرفته است شامل وب‌سایت‌های سیاسی، بنگاه‌های املاک، باشگاه فوتبال و ...  است.
 
بر اساس  اطلاعات سایت افتا، نکته قابل توجه در مورد این حملات این است که تمامی سرورهایی که هدف حمله waterhole قرار گرفته‌اند با الگو یکسانی آلوده شده‌اند. در این الگو، یک لینک در یک صفحه وب و یا فایل جاوا اسکریپت تزریق شده است که حاوی آدرس فایل بصورت file://IP/filename.png است که به منظور ارسال یک درخواست برای یک فایل تصویری است و موجب می‌شود تا کاربر از طریق پروتکل SMB به یک سرور کنترل از راه دور متصل شود.
 
بنابر گزارش کسپرسکی، در برخی از موارد مهاجمین از سرورهای آلوده جهت حمله به سایر منابع استفاده می‌کنند که  برای این امر پس از دسترسی به سرورها، لازم است ابزارهای مورد نیاز خود را نصب شوند.
 
همچنین باتوجه به تحلیل‌های انجام شده می‌توان دریافت که مهاجمین از ابزارهای در دسترس عموم و متن باز استفاده می‌کنند. همچنین، مهاجمان در اکثر سرورهای هدف به دنبال یافتن آسیب‌پذیری‌ها و سرقت اطلاعات احراز هویت کاربران هستند.

هشدار ماهر درباره افزایش حملات فیشینگ بانکی در ماه‌های اخیر

/در , , , , , , /توسط
مرکز ماهر درخصوص افزایش حملات فیشینگ بانکی در ماه‌های اخیر هشدار داد.
 
به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) از مرکز ماهر، بر اساس رصد صورت گرفته حملات فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار برنامک‌های اندرویدی مخرب یا جعلی صورت می‌ پذیرد. لذا توصیه‌های زیر جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد می‌گردد:
 
پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک‌های منتشر شده در شبکه‌های اجتماعی و کانال‌ها 
 
حساسیت بیشتر نسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر. لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد.
 
بر این اساس باید توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده‌اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.
 
درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌ (بدون هرگونه تغییر در حروف) معتبرند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر (cert [@] certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.
 
توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وب‌سایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وب‌سایت دقت کنید.
 
فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارائه شده که خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است.

زیمنس پیش قدم شد/ انتشار جزییات آسیب‌پذیری تجهیزات زیمنس

/در , , , , , /توسط
آسیب‌پذیری بر روی کنترل‌کننده و کارت‌های شبکه صنعتی زیمنس براساس اعتبارسنجی نامناسب ورودی است که به مهاجم امکان ایجاد شرایط انکار سرویس را از طریق بسته‌های شبکه PROFINET DCP می‌دهد.
 
برخی مراکز داده کشور اواخر هفته گذشته با حمله سایبری مواجه شدند و تعدادی از مسیریاب‌های کوچک به تنظیمات کارخانه‌ای تغییر یافتند. دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بود و هر سیستم عاملی که این ویژگی بر روی آن فعال بود، در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانستند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
 
این اتفاق هرچند که به گفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) چندی قبل‌تر هشدار داده شده بود اما نشان داد که لزوم اطلاع رسانی دقیق‌تر و شفاف‌تر از سوی مراجع ذی ربط احساس می‌شود و چراغ قرمزی بود برای مدیران سیستم‌های امنیتی سازمانها و ارگان‌ها و ادارات تا با استفاده راهکارهای لازم از سیستم‌ها محافظت و پشتیبانی کنند.
 
در این حوزه اما مشکلات مشابه آنچه که برای سیسکو رخ داده، برای زیمنس هم رخ داده که قابل توجه است؛ در ماه مارس ۲۰۱۸ گزارشی مبنی بر آسیب ‌پذیری بر روی چند کنترل کننده و کارت‌های شبکه صنعتی زیمنس با شناسه CVE-۲۰۱۸-۴۸۴۳ منتشر شده است.
 
آسیب‌پذیری مذکور بر اساس اعتبارسنجی نامناسب ورودی است که به مهاجم امکان ایجاد شرایط انکار سرویس را از طریق بسته‌های شبکه PROFINET DCP می‌دهد. برای سوء استفاده از این آسیب‌ پذیری، دسترسی مستقیم به لایه دوم OSI این محصولات نیاز است و در صورت اکسپلویت موفقیت آمیز آسیب‌ پذیری، برای بازیابی سیستم باید تجهیزات به طور دستی مجدداً راه‌اندازی شوند.
 
در حال حاضر زیمنس برای چندین محصول به روزرسانی منتشر کرده است و در حال بررسی به روزرسانی دیگر محصولات باقی‌مانده است و تا زمان در دسترس قرار گرفتن به روزرسانی‌ ها راه‌های مقابله‌ای را پیشنهاد کرده است.
 
اعتبارسنجی نامناسب ورودی می‌تواند منجر به اجرای کد، انکار سرویس و گم شدن داده‌ها شود که دشمن شماره یک سلامت نرم افزار است. اگر مطمئن نشوید اطلاعات ورودی دقیقاً با انتظارات همخوانی دارند، با مشکل مواجه خواهید شد. برای مثال در جایی که انتظار دارید یک شناسه عددی وارد شود، ورودی به هیچ وجه نباید شامل داده های کاراکتری باشد.
 
در برنامه‌های کاربردی واقعی، نیازهای اعتبارسنجی اغلب پیچیده‌تر از حالت ساده مذکور هستند. اعتبارسنجی نامناسب منجر به آسیب‌پذیری می‌شود، زیرا مهاجمان قادرند ورودی را با روش‌های غیر قابل انتظار دستکاری کنند. امروزه بسیاری از آسیب پذیری‌های مشترک و معمول می‌توانند با اعتبارسنجی مناسب ورودی از بین رفته و یا به حداقل کاهش پیدا کنند.
 
بر اساس اطلاعات سایت مرکز مدیریت راهبردی افتا، پاسخ به درخواست PROFINET DCP با بسته‌ای دستکاری شده می‌تواند منجر به ایجاد وضعیت انکار سرویس در سیستم درخواست‌کننده شود. در واقع می‌توان گفت آسیب‌پذیری مذکور ویژگی دسترس‌پذیری عملکردهای اصلی محصول را تحت‌تاثیر قرار می‌دهد. این آسیب‌پذیری با دسترسی مستقیم حمله کننده‌ای که در همان بخش Ethernet (لایه دوم OSI) دستگاه مورد هدف قرار دارد، می‌تواند مورد سوء استفاده قرار گیرد.  
 
راه‌های مقابله
 
زیمنس علاوه بر به‌روزرسانی محصولات متاثر، راه‌های زیر را به منظور کاهش مخاطره به مشتریان ارایه کرده است:
 
- پیاده‌سازی مفهوم حفاظت از zone های شبکه کنترل و اتوماسیون 
- استفاده از VPN برای حفاظت از ارتباطات شبکه‌ای بین zone ها 
- پیاده‌سازی دفاع در عمق
 
توصیه‌ها
 
- حفاظت از دسترسی شبکه به دستگاه‌ها با استفاده از مکانیزم‌های مناسب
- مجزا کردن شبکه صنعتی از سایر شبکه‌های اداری/داخلی 
- اجتناب از اتصال شبکه صنعتی به اینترنت 
- به‌روزرسانی‌ نرم افزارهای صنعتی مطابق با روش‌های پیشنهاد شده توسط سازنده
- اجرای راهکارهای امنیتی پیشنهاد شده توسط سازنده
 

سیسکو هشدار داد: احتمال دست داشتن دولت‌‌ها در حمله سایبری اخیر به مراکز داده ایران و چند کشور دیگر

/در , , , , , /توسط
هکرها با سوءاستفاده از یک آسیب پذیری در کلاینت اسمارت اینستال شرکت سیسکو موفق به نفوذ در زیرساخت های مهم دیجیتال در برخی کشورها و از جمله ایران شده اند.
به گزارش زددی نت، گروه Talos Intelligence وابسته به سیسکو می گوید ردپای ارتباط این هکرها با یک دولت خاص مشاهده می شود.
 
US CERT نیز که در آمریکا وظیفه مقابله با حملات سایبری گسترده را بر عهده دارد، حملات یادشده را به دولت روسیه منتسب کرده و از انجام حملات مشابه  علیه سازمان ها و نهادهای آمریکایی در حوزه هایی همچون انرژی، هسته ای، موسسات تجاری، آب، ناوبری و غیره خبر داده است. سمانتک هم مدعی شده نام گروه هکری که مسئول این حملات است دراگون فلای می باشد.
 
کلاینت اینستال اسمارت ابزاری برای به کارگیری سریع سوئیچ های جدید است و نکته جالب این است که سیسکو یک هفته قبل برای حل مشکل اجرای کدهای مخرب از راه دور در برخی از این سوئیچ ها یک وصله امنیتی عرضه کرده بود، اما بی توجهی مدیران شبکه ها و عدم نصب وصله های عرضه شده باعث شده حملات هکرها موفق باشد و به نتیجه برسد.
 
بررسی ها نشان می دهد میلیون ها سوئیچ  و همین طور دیگر ابزار شبکه ای عرضه شده توسط سیسکو به همین علت آسیب پذیر هستند. حملات یادشده از طریق پرت آزاد TCP 4786 صورت گرفته است.
 
اجرای این حملات پس از افزایش ترافیک پرت یادشده از نوامبر سال 2017 شناسایی شد. این حملات در آوریل 2018 به اوج رسید که نشانگر شدت گرفتن حملات مذکور بوده است.
 
بسیاری از برنامه های موبایلی، وب سایت ها و خدمات تحت وب در دسترس در ایران هم به دنبال همین حملات دچار اختلال شده اند. از جمله این شرکت ها می توان به افرانت، شاتل و صبا نت اشاره کرد. تعداد سیستم های رایانه ای که به همین علت دچار مشکل شده اند حدود 168 هزار مورد برآورد شده است.
 
سیسکو قبلا در 29 مارس هشدار داده بود که در صورت عدم نصب وصله های عرضه شده 8.5 میلیون سوئیچ این شرکت آسیب پذیر بوده و در معرض خطر حمله قرار می گیرند.
 

سیسکو هشدار داد: احتمال دست داشتن دولت‌‌ها در حمله سایبری اخیر به مراکز داده ایران و چند کشور دیگر

/در , , , , , /توسط
هکرها با سوءاستفاده از یک آسیب پذیری در کلاینت اسمارت اینستال شرکت سیسکو موفق به نفوذ در زیرساخت های مهم دیجیتال در برخی کشورها و از جمله ایران شده اند.
به گزارش زددی نت، گروه Talos Intelligence وابسته به سیسکو می گوید ردپای ارتباط این هکرها با یک دولت خاص مشاهده می شود.
 
US CERT نیز که در آمریکا وظیفه مقابله با حملات سایبری گسترده را بر عهده دارد، حملات یادشده را به دولت روسیه منتسب کرده و از انجام حملات مشابه  علیه سازمان ها و نهادهای آمریکایی در حوزه هایی همچون انرژی، هسته ای، موسسات تجاری، آب، ناوبری و غیره خبر داده است. سمانتک هم مدعی شده نام گروه هکری که مسئول این حملات است دراگون فلای می باشد.
 
کلاینت اینستال اسمارت ابزاری برای به کارگیری سریع سوئیچ های جدید است و نکته جالب این است که سیسکو یک هفته قبل برای حل مشکل اجرای کدهای مخرب از راه دور در برخی از این سوئیچ ها یک وصله امنیتی عرضه کرده بود، اما بی توجهی مدیران شبکه ها و عدم نصب وصله های عرضه شده باعث شده حملات هکرها موفق باشد و به نتیجه برسد.
 
بررسی ها نشان می دهد میلیون ها سوئیچ  و همین طور دیگر ابزار شبکه ای عرضه شده توسط سیسکو به همین علت آسیب پذیر هستند. حملات یادشده از طریق پرت آزاد TCP 4786 صورت گرفته است.
 
اجرای این حملات پس از افزایش ترافیک پرت یادشده از نوامبر سال 2017 شناسایی شد. این حملات در آوریل 2018 به اوج رسید که نشانگر شدت گرفتن حملات مذکور بوده است.
 
بسیاری از برنامه های موبایلی، وب سایت ها و خدمات تحت وب در دسترس در ایران هم به دنبال همین حملات دچار اختلال شده اند. از جمله این شرکت ها می توان به افرانت، شاتل و صبا نت اشاره کرد. تعداد سیستم های رایانه ای که به همین علت دچار مشکل شده اند حدود 168 هزار مورد برآورد شده است.
 
سیسکو قبلا در 29 مارس هشدار داده بود که در صورت عدم نصب وصله های عرضه شده 8.5 میلیون سوئیچ این شرکت آسیب پذیر بوده و در معرض خطر حمله قرار می گیرند.
 

نشریه امریکایی MOTHERBOARD مدعی شد: هدف حمله سایبری ایران و روسیه بوده است.

/در , , , , , /توسط
نشریه امریکایی MOTHERBOARD مدعی شد هدف اصلی عاملان حمله سایبری جمعه شب، ایران و روسیه بوده است.
 
هکرها در گفت‌وگو با این نشریه مدعی شده‌اند که هدف از این حملات تنها انتقال یک پیام بوده است (آنها با انتشار پرچم امریکا نوشته بودند که در انتخابات ما خرابکاری نکنید).
 
هکرها همچنین مدعی شده‌اند که بسیاری از سیستم‌های آسیب‌پذیر در کشورهای مختلف از جمله در امریکا، انگلستان و کانادا را شناسایی کرده اما تنها به روسیه و ایران حمله کردند. هکرها گفته‌اند :«بر اثر تلاش‌های ما، تقریبا هیچ سیستم آسیب پذیر دیگری در جهان باقی نمانده است».

توضیحات پلیس فتا درباره اختلال در شبکه اینترنت کشور + هشدار

/در , , , , , , /توسط
رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا اعلام کرد که اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعاتی درپی آن رخ نداده است.
 
به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا)، سرهنگ علی نیک‌نفس با اشاره به اختلال رخ داده در سرویس اینترنت کشور گفت:  بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت بوده است و این حمله سایبری ناشی از آسیب پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچ های مورد استفاده در سرویس دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه‌ها را در پی داشته است.
 
وی افزود: حدود یک‌سال قبل نیز شرکت مورد نظر هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور(smart install client) بر روی آنها فعال است را منتشر کرده بود.
 
به گفته سرهنگ نیک‌نفس، چنانچه قبلا نیز مکرراً تاکید شده است مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید مستمراً رصد و شناسایی آسیب‌پذیری‌های جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.
 
رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه هکرها می‌توانند با سوءاستفاده از آسیب‌پذیری شناسایی شده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوئیچ‌ها و روترهای سیسکو و کارانداختن خدمات آنها اقدام نمایند و همچنین قابلیت اجرای کد از راه دور بر روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه می‌شود مدیران شبکه سازمان‌ها و شرکت‌ها با استفاده از دستور"show vstack " به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور "no vstack" آن‌را غیرفعال کنند.
 
وی ادامه داد: به علاوه با توجه به اینکه حمله مزبور بر روی  پورت 4786TCPصورت گرفته است لذا بستن ورودی پورت مزبور بر روی فایروال‌های شبکه نیز توصیه می‌شود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است به روز رسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.
 
نیک‌نفس خاطرنشان شد: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعات تا این لحظه، سرویس دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
 
وی ادامه داد: همچنین پیش‌بینی می‌شود که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ‌داخلی خود گردند. لذا مدیران سیستم‌های آسیب دیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیزات خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و پیکربندی تجهیزات مجددا انجام پذیرد.
 
براساس اعلام مرکز اطلاع رسانی فتا، نیک‌نفس با اشاره به اینکه قابلیت آسیب‌پذیر smart install client  نیز با اجرای دستور "no vstack" غیر فعال شود، تاکید کرد: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام گردد. توصیه می‌گردد در روتر لبه شبکه با استفاده ازفهرست کنترل دسترسی(ACL )ترافیک ورودی 4786 TCP نیز مسدود گردد.
 
رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا اضافه کرد: مجددا تاکید می‌گردد که مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید نسبت به بررسی مستمر آخرین آسیب پذیرهای سامانه‎ها و ابزارها اقدام و نسبت به بروز رسانی و رفع نواقص احتمالی در اسرع وقت اقدام نمایند.

مرکز ماهر: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیزات سیسکو نمایید

/در , , , , , /توسط
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی اطلاعیه دیرهنگامی را منتشر کرد.
در متن این اطلاعیه آمده است: در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مذمون در قالب startup-config مشاهده گردید:
 
دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.
تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.
همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.

جهرمی تاکید کرد: ضرورت تجدیدنظر در نظام های پیشگیری از حملات سایبری/ رسپینا جزو ۱۰ شرکت متاثر از این حملات در دنیا بود

/در , , , , , , /توسط
وزیر ارتباطات و فناوری اطلاعات با توجه به حمله سایبری شب گذشته به ضرورت تجدید نظر در نظام های پیشگیری از حملات سایبری تاکید کرد.
محمد جواد آذری جهرمی ظهر امروز در ارتباطی زنده با اخبار شبکه یک سیما توضیحاتی در خصوص حمله سایبری شب گذشته ارایه کرد.
 
وی در ابتدای این گفتگو با اشاره به اینکه این حمله سایبری در کشورهای مختلف تاثیرات متفاوتی داشته است، گفت: کشورهای آمریکا و روسیه بیشترین تاثیر را از این حمله داشته اند و ایران با 2 درصد جز کشورهایی است که کمترین تاثیر از این حملات داشته است.
 
آذری جهرمی با بیان اینکه 195 هزار تجهیز شرکت سیسکو در کل دنیا مورد حمله قرار گرفته است، افزود: شرکت ایرانی رسپینا جز 10 شرکتی است که در دنیا بیشترین تاثیرات را از این حمله داشته اند.
 
وی با اشاره به اینکه در ایران نیز تهران با 555 تجهیز بیشترین تاثیر را از این حمله سایبری داشته است، گفت: این حمله باعث خارج شدن روترها و افت ترافیک در شبکه شد و در این حمله سرقت اطلاعاتی انجام نشده است .
 
وزیر ارتباطات و فناوری اطلاعات با عنوان اینکه دلیل این حمله یک اشکال امنیتی در تجهیزات سیسکو بوده است، خاطر نشان کرد: البته شرکت سیسکو در حدود 10 روز گذشته در این مورد تذکراتی داده بود و شرکت های ارتباطات زیرساخت، اپراتورهای تلفن همراه و برخی از شرکت های FCP به تذکرات توجه کردند و به همین دلیل در این حمله مشکلی برای این شرکت ها بوجود نیامد.
 
وی در پاسخ به سوالی درباره مسوولیت وزارت ارتباطات در این حوزه نیز گفت: وزارت ارتباطات در بخش هایی از شبکه که مسوولیت داشته این موارد را مدیریت کرده است و برای هسته اصلی شبکه ملی اطلاعات مشکلی بوجود نیامده است.
 
آذری جهرمی تصریح کرد: وزارت ارتباطات از طریق مرکز ماهر به تمام شرکت ها در این زمینه با درجه اهمیت بالا تذکر داده بود اما  به دلیل تعطیلات نوروزی برخی از شرکت های شبکه خود را به صورت فریز قرار می دهند و تذکرات را جدی نمی گیرند، البته مرکز ماهر باید موضوع را به صورت ویژه برای این شرکت ها اعلام می کرد که این اقدام انجام نشده است.
 
وی با تاکید به اینکه به این موضوع رسیدگی می شود و با مسوولین این موضوع برخورد می شود، افزود: درنظام هایی که برای جلوگیری و پیشگیری از این حملات طراحی شده باید تجدید نظر کنیم و با استفاده از نظر کارشناسان این حوزه نظام پیشگیری چابکتری طراحی شود.
 
وزیر ارتباطات و فناوری اطلاعاتبا بیان اینکه شبکه با گذشت 2 ساعت به حالت عادی برگشت، افزود: دستوالعملی های امنیتی در این حوزه باید به روز شود و به توصیه های امنیتی شرکت های سازنده تجهیزات داخلی و خارجی حتما توجه شود.