رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا: رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است، گفت: این حمله سایبری ناشی از آسیب پذیری امنیتی در سرویس پیکربندی […]
این مقام ارشد انتظامی یادآورشد: اطلاعات کامل و جزئیات فنی مربوط به آسیب پذیری مزبور به همراه وصله امنیتی مربوطه، ده روز قبل( هشتم فروردین) در آدرس زیر https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed اعلام شده است.
به گفته سرهنگ نیکنفس چنانچه قبلا نیز مکرراً تاکید شده است مسئولان فناوری اطلاعات سازمانها و شرکتها باید مستمراً رصد و شناسایی آسیبپذیریهای جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.
رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه هکرها میتوانند با سوءاستفاده از آسیبپذیری شناسایی شده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوئیچها و روترهای سیسکو و کارانداختن خدمات آنها اقدام نمایند و همچنین قابلیت اجرای کد از راه دور بر روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه میشود مدیران شبکه سازمانها و شرکتها با استفاده از دستور“show vstack ” به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور “no vstack” آنرا غیرفعال کنند.
وی ادامه داد: به علاوه با توجه به اینکه حمله مزبور بر روی پورت 4786TCP صورت گرفته است لذا بستن ورودی پورت مزبور بر روی فایروالهای شبکه نیز توصیه میشود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است به روز رسانی به آخرین نسخههای پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.
سرهنگ نیکنفس خاطر نشان شد: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعات تا این لحظه، سرویس دهی شرکتها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
این مقام ارشد انتظامی ادامه داد: همچنین پیشبینی میگردد که با آغاز ساعت کاری سازمانها، ادارات و شرکتها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود گردند. لذا مدیران سیستمهای آسیب دیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راهاندازی مجدد تجهیزات خود نمایند یا در صورت عدم وجود کپی پشتیبان، راهاندازی و پیکربندی تجهیزات مجددا انجام پذیرد.
سرهنگ نیکنفس با اشاره به اینکه قابلیت آسیبپذیر smart install client نیز با اجرای دستور “no vstack” غیر فعال گردد، تاکید کرد: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام گردد. توصیه میگردد در روتر لبه شبکه با استفاده ازفهرست کنترل دسترسی(ACL ) ترافیک ورودی 4786 TCP نیز مسدود گردد.
وی یادآور شد: مجددا تاکید میگردد که مسئولان فناوری اطلاعات سازمانها و شرکتها باید نسبت به بررسی مستمر آخرین آسیب پذیرهای سامانهها و ابزارها اقدام و نسبت به بروز رسانی و رفع نواقص احتمالی در اسرع وقت اقدام نمایند .
سرهنگ نیکنفس در پایان گفت: هرگونه اطلاعات تکمیلی در این خصوص از طریق سایت پلیس فتا اطلاع رسانی خواهد شد.