به گزارش «نماینده» مرکز ماهر در خصوص اختلال سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی اطلاعیهای صادر کرد که به این شرح است:
«در پی بروز اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی در ساعت حدود ۲۰:۱۵ مورخ ۱۷/۱/۹۷، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.
در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندیهای این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مذمون در غالب startup-config مشاهده گردید:
دلیل اصلی مشکل، وجود حفرهی امنیتی در ویژگی smart install client تجهیزات سیسکو میباشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین میتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند. لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچها و روترهای خود اقدام نمایند، همچنین بستن پورت ۴۷۸۶ در لبهی شبکه نیز توصیه میشود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوهی برطرف سازی آن در منابع زیر آمده است: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۷۰۲۱۴-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۸۰۳۲۸-smi۲#fixed در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهندههای عمدهی اینترنت کشور مسدود گردید.
تا این لحظه، سرویس دهی شرکتها و مراکز دادهی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش بینی میگردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکهی داخلی خود گردند؛ لذا مدیران سیستمهای آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه میگردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.»
بر این اساس وزیر ارتباطات هم دیشب با تائید حملات سایبری به برخی از مراکز داده کشور نوشت: امشب برخی از مراکز داده کشور با حمله سایبری مواجه شدهاند. تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتهاند.
مرکز ماهر به یاری این مراکز داده، حمله را کنترل و در حال اصلاح شبکههای آنان به حالت طبیعی هستند. تلاشها برای ناامن جلوه دادنها یک فرصت برای اصلاح اشکالهاست.
بررسیهای اولیه حاکی از آن است که در تنظیمات مسیریابهای مورد حمله قرار گرفته، با حک پرچم ایالت متحده، اعتراضی درباره انتخابات آمریکا صورت گرفته است. دامنه حملات فراتر از ایران است. منشا حملات در دست بررسی است. تا کنون بیش از ۹۵ درصد مسیریابهای متاثر از حمله به حالت عادی بازگشتند و سرویس دهی را از سر گرفتند.