حمله سایبری گسترده روی تجهیزات سیسکو

حمله سایبری گسترده روی تجهیزات سیسکو

بر اساس گزارش های امنیتی گروه  Cisco Talos در رابطه با حمله سایبری گسترده روی تجهیزات سیسکو در روز پنج شنبه 16/01/1396، وجود نقصی در سوئیچ های سیسکو(Cisco) این امکان را برای هکرها فراهم کرده تا زیرساخت های حیاتی بسیاری از کشورها را با حملات سایبری هدف قرار دهند. در این گزارش پیش بینی شده است که حدود 168000 سیستم ممکن است توسط این نقص تحت تاثیر قرار گیرد.

تیم Talos با استفاده از ابزار جستجو Shodan تخمین زدند که بیش از 168000 سیستم می تواند در معرض این حمله سایبری باشد. حال آنکه، در سال 2016، شرکت امنیتی سایبری Tenable اشاره کرد که حدود 251،000 کاربر از تجهیزات Cisco Smart Install Client استفاده می کنند.

با حمله سایبری گسترده به سوئیچ‌های سیسکو در دو روز گذشته، در بیش از 180 کشور از جمله ایران، اختلال ارتباطاتی ایجاد شد و چندین دیتاسنتر هم‌زمان نظیر رسپینا و شاتل و… از کار افتاد.

حمله سایبری روی تجهیزات سیسکو

بر اساس این گزارش، مهاجمان نقص موجود در حفره امنیتی موجود در پروتکل Cisco Smart Install Client  را هدف قرار داده اند. بر این اساس، پورت 4786 روی سوئیچ‌ها (مدل‌های 2960، 4500، 3850، 3750،3560، 2975) به صورت پیش فرض باز بوده و هکرها نیز از طریق این پورت حمله سایبری تعریف شده را انجام داده و سوئیچ‌ها را به حالت اولیه کارخانه (reset factory) بازگردادند.

اگر مدیران سرور تنظیمات لازم روی این پروتکل را پیکربندی نکرده و یا آن را خاموش نکرده باشند، نتیجه این حملات، منجر به هنگ نمودن سیستم شده و درواقع سیستم در پس زمینه، در انتظار ورود دستورات جدید خواهد بود.

دسترسی به سرور از طریق پروتکل Smart Install، منجر به اعمال تغییرات زیر خواهد شد:

– تنظیمات سرور TFTP

– تغییر در فایل های پیکربندی exfiltrate از طریق TFTP

– تغییر فایلهای پیکربندی و جایگزینی Image IOS

– تنظیم حساب های کاربری جدید جهت دسترسی به اجرای دستورات ISO

جهت بررسی اینکه Smart Install Client روی سیستم فعال می باشد یا خیر، می توانید از  دستور show show vstack config  استفاده کنید. بعنوان مثال:

switch#show vstack config | inc Role
Role: Client (SmartInstall enabled)

همچنین اکیدا توصیه می شود که لاگ های مربوطه را از لحاظ تغییراتی که اخیرا روی سیستم انجام شده، ریلود شدن دیوایس ها و… بررسی نمایید.

بر اساس این گزارش، ساده ترین راه جهت رفع این مشکل، اجرای دستور no vstack   روی دستگاه آسیب دیده می باشد.

در صورتی که این امکان نیز فراهم نباشد، توصیه می شود دسترسی های مجاز را از طریق لیست کنترل دسترسی (ACL) برای رابط کاربری، مشابه زیر محدود کنید.

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

پس از این قطعی گسترده بدلیل حمله سایبری، محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات ایران با انتشار پست‌هایی در صفحه شخصی خود در توئیتر این حمله سایبری به برخی مراکز داده ایران را تأیید کرد. او همچنین در ساعات پایانی شب اعلام کرد که بیش از 95 درصد مسیریاب‌های متاثر از حمله سایبری به حالت عادی بازگشتند و سرویس‌دهی را از سر گرفتند.

در صورتی که مقاله فوق مورد توجه شما قرار گرفته پیشنهاد میکنیم مقالات “آموزش کار با دستور cp در لینوکس برای کپی کردن فایل و پوشه ها” و ”هاست لینوکس چیست ؟ ۴ مزایای هاست لینوکس” در بلاگ مرواهاست مطالعه فرمایید

فیس بوک
توییتر
لینکدین
تامبلر
پین ترست
رددیت
ایمیل

14 آبان 1403

در 12:12

ساخت فایل htaccess در وردپرس، امکانات زیادی را در اختیار شما قرار می‌دهد. این فایل یکی از کاربردی‌ترین فایل‌های وردپرس است که نیاز به سایر افزونه‌ها را از بی...

30 مهر 1403

در 21:53

ارور ۴۰۱ خطایی است که هنگام دسترسی بدون شناسه کاربری و رمز عبور معتبر به یک سایت برای شما نمایش داده می‌شود. این خطا دسترسی به سایت مورد نظر شما را غیر ممکن ...

25 مهر 1403

در 09:41

متن‌باز، اصطلاحی است که ممکن است بارها آن را شنیده و درباره آن کنجکاو باشید. اگر می‌خواهید بدانید اوپن سورس یعنی چی، باید بگوییم که این اصطلاح، به چیزی که هم...

23 مهر 1403

در 22:59

ریدایرکت ۳۰۱ چیست؟ این سوالی است که ممکن است برای بسیاری از شما ایجاد شده باشد. این ریدایرکت، که یکی از انواع ریدایرکت‌ها است، انتقال دائم صفحات یا وب‌سایت‌ه...

16 مهر 1403

در 12:12

دامنه اس بی اس چیست؟ این سوال شاید برای بسیاری از افراد که به تازگی وارد حوزه دیجیتال مارکتینگ شده‌اند و به دنبال ثبت دامنه هستند مطرح شود. پس با ما در این م...

11 مهر 1403

در 12:12

ارور 404 یکی از رایج‌ترین خطاهای اینترنتی است که کاربران در هنگام بازدید از صفحات وب با آن مواجه می‌شوند. این ارور نشان‌دهنده این است که صفحه‌ای که کاربر به ...

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.