[[{"content_id":474222,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"جزئیات حمله گسترده به سوییچ‌های سیسکو در ایران و جهان","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"تقریبا اوایل بامداد بود که یک حمله سایبری گسترده در سراسر جهان شناسایی شد. حمله&zwnj;ای که به&zwnj;طور مستقیم سوییچ&zwnj;های شرکت سیسکو را هدف قرار داده بود در چند کشور منجمله ایران تاثیرات محسوسی بر جای گذاشت. به&zwnj;گونه&zwnj;ای که نه تنها اختلال در ارتباطات به وجود آمد بلکه چند مرکز داده نیز به شکل همزمان از دسترس خارج شدند.\r\n\r\n\r\nدر حالی که این حمله تقریبا اکثر مدیران مراکز داده و کاربرانی که به اینترنت متصل بودند را غافل&zwnj;گیر کرد و در عمل باعث شد دسترسی به&nbsp; برخی از سایت&zwnj;ها امکان&zwnj;پذیر نباشد، اما شرکت امنیتی تالوس سکیوریتی چندی قبل خبر داد که آسیب&zwnj;پذیری ناشناخته&zwnj;ای را روی سوییچ&zwnj;های سیسکو شناسایی کرده است. این شرکت به سازمان&zwnj;های بزرگ اطلاع داده بود که ممکن است یک حمله سایبری بزرگ به وجود آید.\r\n\r\n\r\n\r\nاین شرکت امنیتی در تاریخ 29 مارس اعلام کرد در پوییش 8.5 میلیون دستگاهی که با پورت باز به اینترنت متصل شده&zwnj;اند مشاهده کرده است که دست کم 250 هزار سوییچ به این آسیب&zwnj;پذیری آلوده بوده و به راحتی در تیرراس هکرها قرار دارند. در همین ارتباط کارشناسان CERT اعلام داشته&zwnj;اند که بهره&zwnj;برداری از پروتکل Smart Install در زمان نصب از طریق کنسول روی سوییچ&zwnj;های سیسکو، شبیه به کاری است که چند وقت پیش هکرها برای حمله به تاسیسات هسته&zwnj;ای و انتقال انرژی در ایالات متحده از آن استفاده کردند. به نظر می&zwnj;رسد درگاه 4786 روی سوییچ&zwnj;های با مدل 2960، 4500، 3850، 3750،3560، 2975 به&zwnj;طور پیش&zwnj;فرض باز بوده و مدیران شبکه نیز از این موضوع اطلاعی نداشتند.\r\n\r\n\r\n\r\nهکرها نیز حمله خود را روی این درگاه متمرکز کرده بودند و موفق شده&zwnj;اند سوییچ&zwnj;ها را به تنظیمات اولیه کارخانه بازگرداند.\r\n\r\nعلت بروز این حمله چه بود؟\r\n\r\nپژوهشگران امنیتی Embedi یک آسیب&zwnj;پذیری حیاتی در نرم&zwnj;افزار Cisco IOS و Cisco IOS XE را کشف کرده&zwnj;اند. آسیب&zwnj;پذیری که به هکرها اجازه می&zwnj;دهد از راه دور کدهای دلخواه خود را اجرا کنند. هکرها همچنین می&zwnj;توانند کنترل کامل دستگا&zwnj;های آسیب&zwnj;پذیر شبکه و ترافیک شبکه را پس از پیاده&zwnj;سازی موفقیت&zwnj;آمیز این حمله به دست آورند.\r\n\r\n\r\n\r\nآسیب&zwnj;پذیری اجرای کد به شماره ثبت شده CVE-2018-0171\r\n\r\nآسیب&zwnj;پذیری سرریز بافر به شماره CVE-2018-0171 که باعث می&zwnj;شود فرآیند اعتبارسنجی بسته&zwnj;های داده&zwnj;ای در پروتکل Smart Install Client به شکل درستی انجام نشود عامل بروز این حمله بوده است. در نتیجه پیکربندی Plug-and-Play و ویژگی مدیریت ایمیج که به مدیران کمک می&zwnj;کند به شکل ساده&zwnj;تری سوییچ&zwnj;های شبکه را راه&zwnj;اندازی و مستقر کنند به شکل درستی اعمال نشود. شرکت Embedi جزییات فنی و همچنین نمونه کدهای مفهومی را پس از آن&zwnj;که سیسکو به&zwnj;روزرسانی مربوطه را دیروز منتشر کرد ارائه کرده است.\r\n\r\nتاثیرگذاری روی مراکز داده ایران\r\n\r\n\r\n\r\nاواخر جمعه شب نیز مراکز داده ایرانی که از این سوییچ&zwnj;ها استفاده کرده بودند، پس از این حمله از کار افتادند. تقریبا اکثر مدیران شبکه برای پیشگیری از بروز صدمات جبران&zwnj;ناپذیر مجبور شدند سوییچ&zwnj;های خود را خاموش کنند. در نهایت سوییچ&zwnj;هایی که تحت تاثیر این حمله قرار گرفته بودند از طریق نسخه پشتیبان به حالت اولیه خود بازگشتند. در همین ارتباط وزیر ارتباطات نیز در توییتی که منتشر کرد این حمله را تایید نمود. محمد جواد آذری جهرمی اعلام کرد مراکز داده کشور با یک حمله سایبری روبرو شده&zwnj;اند و تعدادی از مسیریاب&zwnj;های کوچک به تنظیمات پیش&zwnj;فرض کارخانه&zwnj;ای بازگشته&zwnj;اند. مرکز ماهر برای کمک به مراکز داده&zwnj;ای که مورد حمله قرار گرفته&zwnj;اند و همچنین برای بازگرداندن مراکز داده به حالت اولیه به آن&zwnj;ها کمک&zwnj;رسانی خواهد کرد. در حال حاضر بیش از 95 درصد از مسیریاب&zwnj;هایی که تحت تاثیر این حمله قرار گرفته&zwnj;اند به حالت اولیه خود بازگشته&zwnj;اند و همچون گذشته فرآیند مسیریابی&zwnj; را انجام می&zwnj;دهند.\r\n\r\nچه دستگاه&zwnj;هایی آلوده هستند؟\r\n\r\nسوییچ&zwnj;های آسیب&zwnj;پذیر سیسکو به شرح زیر هستند:\r\n\r\n\r\n\tCatalyst 4500 Supervisor Engines\r\n\tCatalyst 3850 Series\r\n\tCatalyst 3750 Series\r\n\tCatalyst 3650 Series\r\n\tCatalyst 3560 Series\r\n\tCatalyst 2960 Series\r\n\tCatalyst 2975 Series\r\n\tIE 2000\r\n\tIE 3000\r\n\tIE 3010\r\n\tIE 4000\r\n\tIE 4010\r\n\tIE 5000\r\n\tSM-ES2 SKUs\r\n\tSM-ES3 SKUs\r\n\tNME-16ES-1G-P\r\n\tSM-X-ES3 SKUs\r\n\r\n\r\nاگر از هر یک از سوییچ&zwnj;هایی که به آن&zwnj;ها اشاره شد استفاده می&zwnj;کنید باید به&zwnj;روزرسانی مربوطه را در اسرع وقت نصب کنید. سیسکو در تاریخ 29 مارس در قالب یک مشاوره نامه امنیتی شیوه به&zwnj;روزرسانی را منتشر کرده است. برای اطلاعات بیشتر به آدرس&nbsp;Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability&nbsp;مراجعه کنید.","content_html":"<ul><li>تقریبا اوایل بامداد بود که یک حمله سایبری گسترده در سراسر جهان شناسایی شد. حمله‌ای که به‌طور مستقیم سوییچ‌های شرکت سیسکو را هدف قرار داده بود در چند کشور منجمله ایران تاثیرات محسوسی بر جای گذاشت. به‌گونه‌ای که نه تنها اختلال در ارتباطات به وجود آمد بلکه چند مرکز داده نیز به شکل همزمان از دسترس خارج شدند.<\/li>\n<\/ul><p dir=\"rtl\">در حالی که این حمله تقریبا اکثر مدیران مراکز داده و کاربرانی که به اینترنت متصل بودند را غافل‌گیر کرد و در عمل باعث شد دسترسی به  برخی از سایت‌ها امکان‌پذیر نباشد، اما شرکت امنیتی تالوس سکیوریتی چندی قبل خبر داد که آسیب‌پذیری ناشناخته‌ای را روی سوییچ‌های سیسکو شناسایی کرده است. این شرکت به سازمان‌های بزرگ اطلاع داده بود که ممکن است یک حمله سایبری بزرگ به وجود آید.<\/p>\n\n<p dir=\"rtl\"><img alt=\"\" src=\"http:\/\/www.shabakeh-mag.com\/sites\/default\/files\/styles\/content\/public\/images\/body\/01_139.jpg?itok=BjcaZZGI\" \/><\/p>\n\n<p dir=\"rtl\">این شرکت امنیتی در تاریخ 29 مارس اعلام کرد در پوییش 8.5 میلیون دستگاهی که با پورت باز به اینترنت متصل شده‌اند مشاهده کرده است که دست کم 250 هزار سوییچ به این آسیب‌پذیری آلوده بوده و به راحتی در تیرراس هکرها قرار دارند. در همین ارتباط کارشناسان CERT اعلام داشته‌اند که بهره‌برداری از پروتکل Smart Install در زمان نصب از طریق کنسول روی سوییچ‌های سیسکو، شبیه به کاری است که چند وقت پیش هکرها برای حمله به تاسیسات هسته‌ای و انتقال انرژی در ایالات متحده از آن استفاده کردند. به نظر می‌رسد درگاه 4786 روی سوییچ‌های با مدل 2960، 4500، 3850، 3750،3560، 2975 به‌طور پیش‌فرض باز بوده و مدیران شبکه نیز از این موضوع اطلاعی نداشتند.<\/p>\n\n<p dir=\"rtl\"><img alt=\"\" src=\"http:\/\/www.shabakeh-mag.com\/sites\/default\/files\/styles\/content\/public\/images\/body\/02_120.jpg?itok=ytV0G9XS\" \/><\/p>\n\n<p dir=\"rtl\">هکرها نیز حمله خود را روی این درگاه متمرکز کرده بودند و موفق شده‌اند سوییچ‌ها را به تنظیمات اولیه کارخانه بازگرداند.<\/p>\n\n<h2 dir=\"rtl\">علت بروز این حمله چه بود؟<\/h2>\n\n<p dir=\"rtl\">پژوهشگران امنیتی Embedi یک آسیب‌پذیری حیاتی در نرم‌افزار Cisco IOS و Cisco IOS XE را کشف کرده‌اند. آسیب‌پذیری که به هکرها اجازه می‌دهد از راه دور کدهای دلخواه خود را اجرا کنند. هکرها همچنین می‌توانند کنترل کامل دستگا‌های آسیب‌پذیر شبکه و ترافیک شبکه را پس از پیاده‌سازی موفقیت‌آمیز این حمله به دست آورند.<\/p>\n\n<p dir=\"rtl\"><img alt=\"\" src=\"http:\/\/www.shabakeh-mag.com\/sites\/default\/files\/styles\/content\/public\/images\/body\/03_84.jpg?itok=bqBg7Sit\" \/><\/p>\n\n<h2 dir=\"rtl\">آسیب‌پذیری اجرای کد به شماره ثبت شده CVE-2018-0171<\/h2>\n\n<p dir=\"rtl\">آسیب‌پذیری سرریز بافر به شماره CVE-2018-0171 که باعث می‌شود فرآیند اعتبارسنجی بسته‌های داده‌ای در پروتکل Smart Install Client به شکل درستی انجام نشود عامل بروز این حمله بوده است. در نتیجه پیکربندی Plug-and-Play و ویژگی مدیریت ایمیج که به مدیران کمک می‌کند به شکل ساده‌تری سوییچ‌های شبکه را راه‌اندازی و مستقر کنند به شکل درستی اعمال نشود. شرکت Embedi جزییات فنی و همچنین نمونه کدهای مفهومی را پس از آن‌که سیسکو به‌روزرسانی مربوطه را دیروز منتشر کرد ارائه کرده است.<\/p>\n\n<h2 dir=\"rtl\">تاثیرگذاری روی مراکز داده ایران<\/h2>\n\n<p dir=\"rtl\"><img alt=\"\" src=\"http:\/\/www.shabakeh-mag.com\/sites\/default\/files\/styles\/content\/public\/images\/body\/04_107.jpg?itok=8axP3BpW\" \/><\/p>\n\n<p dir=\"rtl\">اواخر جمعه شب نیز مراکز داده ایرانی که از این سوییچ‌ها استفاده کرده بودند، پس از این حمله از کار افتادند. تقریبا اکثر مدیران شبکه برای پیشگیری از بروز صدمات جبران‌ناپذیر مجبور شدند سوییچ‌های خود را خاموش کنند. در نهایت سوییچ‌هایی که تحت تاثیر این حمله قرار گرفته بودند از طریق نسخه پشتیبان به حالت اولیه خود بازگشتند. در همین ارتباط وزیر ارتباطات نیز در توییتی که منتشر کرد این حمله را تایید نمود. محمد جواد آذری جهرمی اعلام کرد مراکز داده کشور با یک حمله سایبری روبرو شده‌اند و تعدادی از مسیریاب‌های کوچک به تنظیمات پیش‌فرض کارخانه‌ای بازگشته‌اند. مرکز ماهر برای کمک به مراکز داده‌ای که مورد حمله قرار گرفته‌اند و همچنین برای بازگرداندن مراکز داده به حالت اولیه به آن‌ها کمک‌رسانی خواهد کرد. در حال حاضر بیش از 95 درصد از مسیریاب‌هایی که تحت تاثیر این حمله قرار گرفته‌اند به حالت اولیه خود بازگشته‌اند و همچون گذشته فرآیند مسیریابی‌ را انجام می‌دهند.<\/p>\n\n<h2 dir=\"rtl\">چه دستگاه‌هایی آلوده هستند؟<\/h2>\n\n<p dir=\"rtl\">سوییچ‌های آسیب‌پذیر سیسکو به شرح زیر هستند:<\/p>\n\n<ul><li dir=\"ltr\">Catalyst 4500 Supervisor Engines<\/li>\n\t<li dir=\"ltr\">Catalyst 3850 Series<\/li>\n\t<li dir=\"ltr\">Catalyst 3750 Series<\/li>\n\t<li dir=\"ltr\">Catalyst 3650 Series<\/li>\n\t<li dir=\"ltr\">Catalyst 3560 Series<\/li>\n\t<li dir=\"ltr\">Catalyst 2960 Series<\/li>\n\t<li dir=\"ltr\">Catalyst 2975 Series<\/li>\n\t<li dir=\"ltr\">IE 2000<\/li>\n\t<li dir=\"ltr\">IE 3000<\/li>\n\t<li dir=\"ltr\">IE 3010<\/li>\n\t<li dir=\"ltr\">IE 4000<\/li>\n\t<li dir=\"ltr\">IE 4010<\/li>\n\t<li dir=\"ltr\">IE 5000<\/li>\n\t<li dir=\"ltr\">SM-ES2 SKUs<\/li>\n\t<li dir=\"ltr\">SM-ES3 SKUs<\/li>\n\t<li dir=\"ltr\">NME-16ES-1G-P<\/li>\n\t<li dir=\"ltr\">SM-X-ES3 SKUs<\/li>\n<\/ul><p dir=\"rtl\">اگر از هر یک از سوییچ‌هایی که به آن‌ها اشاره شد استفاده می‌کنید باید به‌روزرسانی مربوطه را در اسرع وقت نصب کنید. سیسکو در تاریخ 29 مارس در قالب یک مشاوره نامه امنیتی شیوه به‌روزرسانی را منتشر کرده است. برای اطلاعات بیشتر به آدرس <a href=\"https:\/\/tools.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-20180328-smi2\" rel=\"nofollow\"><strong>Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability<\/strong><\/a> مراجعه کنید.<\/p>","content_source":"","content_url":"","content_date_start":"2018-04-07 12:05:06","content_date_event":"2018-04-07 12:05:06","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2018-04-07 12:07:16","content_date_register":"2018-04-07 12:07:16","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15356,"eid":0,"attach_title":null,"attaches":[{"sizes":{"150":"file\/184\/attach\/197001\/attach.png","300":"file\/184\/attach\/197001\/attach.png","400":"file\/184\/attach\/197001\/attach.png","600":"file\/184\/attach\/197001\/attach.png","900":"file\/184\/attach\/197001\/attach.png","1200":"file\/184\/attach\/197001\/attach.png"}}],"files":[{"id":116128,"ext":"webp","file_header":"image\/webp","original":".\/file\/184\/attach2018041867760768116128.webp","file_size":15734,"show_title":1,"title":"جزئیات حمله گسترده به سوییچ‌های سیسکو در ایران و جهان 2","priority":0}]}]]