اواخر جمعه شب 17 فروردین ماه حدود ساعت ۲۰ و ۱۵ دقیقه بدلیل حمله به سوئیچ های از نوع سیسکو، تعداد زیادی از دیتاسنترها، سرویس دهنده ها و زیرساختهای جهان با اختلالات جدی مواجه شدند، از جمله این اختلالات در دیتاسنترهای پارس آنلاین، افرانت و … نیز در ایران مشاهده گردید، این حمله باعث شد تعداد زیادی از سایت ها نیز از دسترس خارج شوند. اما آسیب پذیری سوییچ های سیسکو چه بود؟ قابلیتی در سوییچ های سیسکو وجود دارد که به مدیران شبکه این امکان را میدهد که بدون نیاز به تنظیم ویا به اصطلاح کانفیگ سوییچ آن را بعد از خریداری از جعبه خارج کرده و بلافاصله نصب نمایند و استفاده کنند، این قابلیت Smart Install نام دارد، در این سناریو شما دو Rule در شبکه برای سوییچ ها متصور میشوید: 1- یک یا چند Smart Install Server و 2- Smart Install Client هایی که به سرور وصل میشوند. داستان از آنجا آغاز شد که پژوهشگر امنیتی ای یک آسیب پذیری موجود در قابلیت smart install client تجهیزات سری 3x و 4x شرکت سیسکو را کشف و بعد از مدتی آن را عمومی نمود! این کار موجب شد، مهاجمین بتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر – سوئیچ ها اقدام نموده و دسترسی سطح بالا به سوییچ ها را بدست آورند، سپس تمامی سوییچ ها را به تنظیمات کارخانه ریست نمودند که اینکار باعث از دسترس خارج شدن سوییچ ها و زیرساخت شبکه شد، این هکرها چند روز بعد با motherboard مصاحبه نمودند و هدف عملیات خود را ایران و روسیه بزرگ اعلام کردند، در این حمله و در سوییچ های ریست شده پیغامی مبنی بر اعتراض به دخالتهای احتمالی روسیه در انتخابات آمریکا همراه با پرچم آمریکا در سوییچ های ریست شده به چشم میخورد.
وزیر ارتباطات نیز در توئیتی این حمله را مورد تایید قرار داد : ” امشب برخی از مراکز داده کشور با حمله سایبری مواجه شدهاند. تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتهاند. مرکز ماهر به یاری این مراکز داده، حمله را کنترل و در حال اصلاح شبکههای آنان به حالت طبیعی هستند. تلاش ها برای ناامن جلوه دادنها یک فرصت برای اصلاح اشکالهاست.”
تیم امنیتی Cisco Talos، در بلاگ خود مینویسد این حمله که از روز ۵ آوریل (۱۶ فروردین) آغاز شده، در سراسر جهان حدود ۱۶۸ هزار سیستم را تحت تاثیر قرار داده است؛ هرچند این آمار برای قبل از حمله به ایران است. این تیم گزارش میدهد که در سال ۲۰۱۶، حمله مشابهی به «Cisco Smart Install Clients» انجام شده بود که در آن زمان، ۲۵۱ سیستم را تحت تاثیر قرار داد. متاسفانه بدلیل این آسیب پذیری بیش از 8.5 میلیون سوئیچ در سراسر دنیا با مشکل مواجه شد. در جریان این موضوع بسیاری از دیتاسنترهای داخل از این قاعده مستثنی نبوده اند و سایت های بزرگی نظیر کافه بازار، دیوار، دیجی کالا و … نیز قطع شدند. همچنین بر اثر تاثیرات ناشی از این مشکل در دیتاسنترهای مورد همکاری با ایرانسرور شبکه ی ما نیز در دیتاسنترهای پردیس پارس آنلاین و افرانت با اختلال مواجه شد و سرویس های سرور اختصاصی و مجازی و اشتراکی ایرانسرور که در دیتاسنتر های پارس آنلاین و افرانت میزبانی می شوند از دسترس خارج شدند.
بمحض قطع شدن سرویس ها در status سایت ایرانسرور اطلاع رسانی انجام شد و تیم بحران از همان لحظه شروع به پیگیری و تلاش جهت حل مشکل اقدام نمود. موضوع به سرعت بررسی و مشخص شد حمله سایبری به برخی از روترسوئیچ های سیسکو که آسیب پذیر بوده اند صورت گرفته و این روترها به حالت تنظیم کارخانه ای بازگشته اند. پشتیبانی ایران سرور نیز در این بازه زمانی با افزایش زیادی از تیکت ها و تماس ها مواجه شد و مشتریان که به حق نگران قعطی و از دسترس خارج شدن سرویس هایشان بودند در تلاش بودند تا از جزئیات این مشکل و زمان رفع آن اطلاع پیدا کنند، تیم پشتیبانی نیز سعی نمود تا در کوتاهترین زمان به کلیه تیکت ها پاسخ دهد. مشکل دیتاسنتر های پردیس پارس آنلاین ساعت 9 صبح 18 فروردین و دیتاسنتر افرانت نیز حدود ساعت 11:45 دقیقه رفع شد. پس از اطمینان کامل از رفع مشکل status ایرانسرور نیز بروزرسانی گردید و به کاربران اطلاع داده شد.
خاضعانه از این رخداد و مشکلاتی که برای مشتریانمان پیش آمد پوزش میطلبیم و مانند همیشه به تمام مشتریان پیشنهاد میکنیم که:
از اطلاعات خود کپی و بکاپ بصورت مداوم در خارج از سرور تهیه نمایید. داشتن فضای پشتیبان در خارج از کشور بدلیل پایدار تر بودن سرویس های خارج مفید خواهد بود. در این زمینه کارشناسان ما در فروش ایرانسرور مشاور شما خواهند بود.
اگر وب سایت شما منبع درآمد شماست و تجارت شما به فعال بودن سرورهایتان وابسته است حتما با بخش فروش تماس بگیرید تا برای شما پلنهای DR برای مواقع بحرانی آماده شود.
تجهیزاتی که نیاز به اینترنت و محیط public مثل اینترنت ندارند را از محیط اینترنت خارج نمائید. مثل استفاده از IP های invalid یا private در آنها .