در حالی که این حمله تقریبا اکثر مدیران مراکز داده و کاربرانی که به اینترنت متصل بودند را غافلگیر کرد و در عمل باعث شد دسترسی به برخی از سایتها امکانپذیر نباشد، اما شرکت امنیتی تالوس سکیوریتی چندی قبل خبر داد که آسیبپذیری ناشناختهای را روی سوییچهای سیسکو شناسایی کرده است. این شرکت به سازمانهای بزرگ اطلاع داده بود که ممکن است یک حمله سایبری بزرگ به وجود آید.
این شرکت امنیتی در تاریخ 29 مارس اعلام کرد در پوییش 8.5 میلیون دستگاهی که با پورت باز به اینترنت متصل شدهاند مشاهده کرده است که دست کم 250 هزار سوییچ به این آسیبپذیری آلوده بوده و به راحتی در تیرراس هکرها قرار دارند. در همین ارتباط کارشناسان CERT اعلام داشتهاند که بهرهبرداری از پروتکل Smart Install در زمان نصب از طریق کنسول روی سوییچهای سیسکو، شبیه به کاری است که چند وقت پیش هکرها برای حمله به تاسیسات هستهای و انتقال انرژی در ایالات متحده از آن استفاده کردند. به نظر میرسد درگاه 4786 روی سوییچهای با مدل 2960، 4500، 3850، 3750،3560، 2975 بهطور پیشفرض باز بوده و مدیران شبکه نیز از این موضوع اطلاعی نداشتند.
هکرها نیز حمله خود را روی این درگاه متمرکز کرده بودند و موفق شدهاند سوییچها را به تنظیمات اولیه کارخانه بازگرداند.
علت بروز این حمله چه بود؟
پژوهشگران امنیتی Embedi یک آسیبپذیری حیاتی در نرمافزار Cisco IOS و Cisco IOS XE را کشف کردهاند. آسیبپذیری که به هکرها اجازه میدهد از راه دور کدهای دلخواه خود را اجرا کنند. هکرها همچنین میتوانند کنترل کامل دستگاهای آسیبپذیر شبکه و ترافیک شبکه را پس از پیادهسازی موفقیتآمیز این حمله به دست آورند.
آسیبپذیری اجرای کد به شماره ثبت شده CVE-2018-0171
آسیبپذیری سرریز بافر به شماره CVE-2018-0171 که باعث میشود فرآیند اعتبارسنجی بستههای دادهای در پروتکل Smart Install Client به شکل درستی انجام نشود عامل بروز این حمله بوده است. در نتیجه پیکربندی Plug-and-Play و ویژگی مدیریت ایمیج که به مدیران کمک میکند به شکل سادهتری سوییچهای شبکه را راهاندازی و مستقر کنند به شکل درستی اعمال نشود. شرکت Embedi جزییات فنی و همچنین نمونه کدهای مفهومی را پس از آنکه سیسکو بهروزرسانی مربوطه را دیروز منتشر کرد ارائه کرده است.
تاثیرگذاری روی مراکز داده ایران
اواخر جمعه شب نیز مراکز داده ایرانی که از این سوییچها استفاده کرده بودند، پس از این حمله از کار افتادند. تقریبا اکثر مدیران شبکه برای پیشگیری از بروز صدمات جبرانناپذیر مجبور شدند سوییچهای خود را خاموش کنند. در نهایت سوییچهایی که تحت تاثیر این حمله قرار گرفته بودند از طریق نسخه پشتیبان به حالت اولیه خود بازگشتند. در همین ارتباط وزیر ارتباطات نیز در توییتی که منتشر کرد این حمله را تایید نمود. محمد جواد آذری جهرمی اعلام کرد مراکز داده کشور با یک حمله سایبری روبرو شدهاند و تعدادی از مسیریابهای کوچک به تنظیمات پیشفرض کارخانهای بازگشتهاند. مرکز ماهر برای کمک به مراکز دادهای که مورد حمله قرار گرفتهاند و همچنین برای بازگرداندن مراکز داده به حالت اولیه به آنها کمکرسانی خواهد کرد. در حال حاضر بیش از 95 درصد از مسیریابهایی که تحت تاثیر این حمله قرار گرفتهاند به حالت اولیه خود بازگشتهاند و همچون گذشته فرآیند مسیریابی را انجام میدهند.
چه دستگاههایی آلوده هستند؟
سوییچهای آسیبپذیر سیسکو به شرح زیر هستند:
- Catalyst 4500 Supervisor Engines
- Catalyst 3850 Series
- Catalyst 3750 Series
- Catalyst 3650 Series
- Catalyst 3560 Series
- Catalyst 2960 Series
- Catalyst 2975 Series
- IE 2000
- IE 3000
- IE 3010
- IE 4000
- IE 4010
- IE 5000
- SM-ES2 SKUs
- SM-ES3 SKUs
- NME-16ES-1G-P
- SM-X-ES3 SKUs
اگر از هر یک از سوییچهایی که به آنها اشاره شد استفاده میکنید باید بهروزرسانی مربوطه را در اسرع وقت نصب کنید. سیسکو در تاریخ 29 مارس در قالب یک مشاوره نامه امنیتی شیوه بهروزرسانی را منتشر کرده است. برای اطلاعات بیشتر به آدرس Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability مراجعه کنید.
نظر شما چیست؟