در حالی که این حمله تقریبا اکثر مدیران مراکز داده و کاربرانی که به اینترنت متصل بودند را غافل‌گیر کرد و در عمل باعث شد دسترسی به  برخی از سایت‌ها امکان‌پذیر نباشد، اما شرکت امنیتی تالوس سکیوریتی چندی قبل خبر داد که آسیب‌پذیری ناشناخته‌ای را روی سوییچ‌های سیسکو شناسایی کرده است. این شرکت به سازمان‌های بزرگ اطلاع داده بود که ممکن است یک حمله سایبری بزرگ به وجود آید.

این شرکت امنیتی در تاریخ ۲۹ مارس اعلام کرد در پوییش ۸.۵ میلیون دستگاهی که با پورت باز به اینترنت متصل شده‌اند مشاهده کرده است که دست کم ۲۵۰ هزار سوییچ به این آسیب‌پذیری آلوده بوده و به راحتی در تیرراس هکرها قرار دارند. در همین ارتباط کارشناسان CERT اعلام داشته‌اند که بهره‌برداری از پروتکل Smart Install در زمان نصب از طریق کنسول روی سوییچ‌های سیسکو، شبیه به کاری است که چند وقت پیش هکرها برای حمله به تاسیسات هسته‌ای و انتقال انرژی در ایالات متحده از آن استفاده کردند. به نظر می‌رسد درگاه ۴۷۸۶ روی سوییچ‌های با مدل ۲۹۶۰، ۴۵۰۰، ۳۸۵۰، ۳۷۵۰،۳۵۶۰، ۲۹۷۵ به‌طور پیش‌فرض باز بوده و مدیران شبکه نیز از این موضوع اطلاعی نداشتند.

هکرها نیز حمله خود را روی این درگاه متمرکز کرده بودند و موفق شده‌اند سوییچ‌ها را به تنظیمات اولیه کارخانه بازگرداند.

علت بروز این حمله چه بود؟

پژوهشگران امنیتی Embedi یک آسیب‌پذیری حیاتی در نرم‌افزار Cisco IOS و Cisco IOS XE را کشف کرده‌اند. آسیب‌پذیری که به هکرها اجازه می‌دهد از راه دور کدهای دلخواه خود را اجرا کنند. هکرها همچنین می‌توانند کنترل کامل دستگا‌های آسیب‌پذیر شبکه و ترافیک شبکه را پس از پیاده‌سازی موفقیت‌آمیز این حمله به دست آورند.

آسیب‌پذیری اجرای کد به شماره ثبت شده CVE-2018-0171

آسیب‌پذیری سرریز بافر به شماره CVE-2018-0171 که باعث می‌شود فرآیند اعتبارسنجی بسته‌های داده‌ای در پروتکل Smart Install Client به شکل درستی انجام نشود عامل بروز این حمله بوده است. در نتیجه پیکربندی Plug-and-Play و ویژگی مدیریت ایمیج که به مدیران کمک می‌کند به شکل ساده‌تری سوییچ‌های شبکه را راه‌اندازی و مستقر کنند به شکل درستی اعمال نشود. شرکت Embedi جزییات فنی و همچنین نمونه کدهای مفهومی را پس از آن‌که سیسکو به‌روزرسانی مربوطه را دیروز منتشر کرد ارائه کرده است.

تاثیرگذاری روی مراکز داده ایران

اواخر جمعه شب نیز مراکز داده ایرانی که از این سوییچ‌ها استفاده کرده بودند، پس از این حمله از کار افتادند. تقریبا اکثر مدیران شبکه برای پیشگیری از بروز صدمات جبران‌ناپذیر مجبور شدند سوییچ‌های خود را خاموش کنند. در نهایت سوییچ‌هایی که تحت تاثیر این حمله قرار گرفته بودند از طریق نسخه پشتیبان به حالت اولیه خود بازگشتند. در همین ارتباط وزیر ارتباطات نیز در توییتی که منتشر کرد این حمله را تایید نمود. محمد جواد آذری جهرمی اعلام کرد مراکز داده کشور با یک حمله سایبری روبرو شده‌اند و تعدادی از مسیریاب‌های کوچک به تنظیمات پیش‌فرض کارخانه‌ای بازگشته‌اند. مرکز ماهر برای کمک به مراکز داده‌ای که مورد حمله قرار گرفته‌اند و همچنین برای بازگرداندن مراکز داده به حالت اولیه به آن‌ها کمک‌رسانی خواهد کرد. در حال حاضر بیش از ۹۵ درصد از مسیریاب‌هایی که تحت تاثیر این حمله قرار گرفته‌اند به حالت اولیه خود بازگشته‌اند و همچون گذشته فرآیند مسیریابی‌ را انجام می‌دهند.

چه دستگاه‌هایی آلوده هستند؟

سوییچ‌های آسیب‌پذیر سیسکو به شرح زیر هستند:

• Catalyst 4500 Supervisor Engines
• Catalyst 3850 Series
• Catalyst 3750 Series
• Catalyst 3650 Series
• Catalyst 3560 Series
• Catalyst 2960 Series
• Catalyst 2975 Series
• IE 2000
• IE 3000
• IE 3010
• IE 4000
• IE 4010
• IE 5000
• SM-ES2 SKUs
• SM-ES3 SKUs
• NME-16ES-1G-P
• SM-X-ES3 SKUs

اگر از هر یک از سوییچ‌هایی که به آن‌ها اشاره شد استفاده می‌کنید باید به‌روزرسانی مربوطه را در اسرع وقت نصب کنید. سیسکو در تاریخ ۲۹ مارس در قالب یک مشاوره نامه امنیتی شیوه به‌روزرسانی را منتشر کرده است. برای اطلاعات بیشتر به آدرس Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability مراجعه کنید.