حمله سایبری به دیتاسنترهای ایرانی، به دلیل نصب نشدن آپدیت امنیتی

در ساعات پایانی ۱۷ فروردین، چندین دیتاسنتر ایرانی زیر بار حمله سایبری قرار گرفتند؛ حمله‌ای که «مرکز ماهر» علت آن را آسیب‌پذیری روترهای سیسکو عنوان کرده است.

شب گذشته چندین شرکت ایرانی از جمله ارتباطات زیرساخت، پارس‌آنلاین، شاتل، افرانت، صبانت و رسپینا دچار اختلال شده بودند و در حال حاضر بیشتر آنها به حالت عادی برگشته‌اند. مرکز ماهر خبر می‌دهد که این آسیب‌پذیری به دلیل وجود یک نقص در قابلیت «Smart Install Client» تجهیزات سری 3x و 4x شرکت سیسکو به وجود آمده و باعث شده تا مهاجمین بتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر سوئیچ‌ها اقدام نموده و مانع خدمات‌دهی این تجهیزات شوند.

نکته قابل توجه این است که سایت خود مرکز ماهر هم به دلیل این مشکل در روترهای سیسکو، برای ساعاتی از دسترس خارج شده بود. این مرکز گزارش می‌دهد که آغاز حملات از ساعت ۲۰:۱۵ دقیقه روز ۱۷ فروردین بوده است و پیکربندی روترهای سیسکو را هدف قرار داد.

بر اساس گزارش مرکز ماهر و همچنین توییت وزیر ارتباطات، به جای تنظیمات روترهای سیسکو، پرچم ایالات متحده در بخش تنظیمات قرار گرفته است و این حمله محدود به کشور ایران نبوده است، هرچند هنوز گزارش کاملی از ابعاد آن در سطح جهانی منتشر نشده است.

اما نکته قابل توجه در خصوص حمله صورت گرفته به این تجهیزات، این است که سیسکو قبلاً خبر از آسیب‌پذیری داده بود. این شرکت با ارائه آپدیتی برای روترهای خود که در ۲۸ مارس (۸ فروردین) منتشر شده بود این مشکل را حل کرده بود اما شرکت‌های ایرانی این آپدیت را نصب نکرده بودند. این در حالی است که سیسکو در ۲۹ مارس خبر داده بود که در صورت آپدیت نشدن تجهیزات، ۸.۵ میلیون روتر در معرض آسیب‌پذیری قرار دارند.

اما مدیر و کارشناس فنی یکی از شرکت‌هایی که شب گذشته تحت تاثیر همین حمله قرار گرفته بود، در گفتگو با دیجیاتو عنوان می‌کند که شرکت‌ها نمی‌توانند به سرعت تمام آپدیت‌هایی که برای اینگونه تجهیزات ارائه می‌شود را نصب کنند:

«تعداد آپدیت‌هایی که برای اینگونه تجهیزات دریافت می‌کنیم زیاد است. برای تجهیزاتی که استفاده می‌کنیم، روزانه بین ۳۰۰ الی ۵۰۰ به روز رسانی دریافت می‌کنیم. شرکت‌های بزرگ نمی‌توانند به محض دریافت به‌روز رسانی، آن را نصب کنند، چرا که خود به روز رسانی هم باعث اختلال می‌شود. از طرفی پیش از نصب، حتما باید به روز رسانی‌ها را در فضای آزمایشگاهی نصب کنیم و مطمئن شویم که مشکلی وجود ندارد، سپس می‌توانیم آن را وارد سیستم کنیم. آپدیت سریع با فاصله کوتاه ممکن نیست چرا که گاهی، ریسک بعضی از به روز رسانی‌ها از خود آسیب‌پذیری‌ها بالاتر بوده و این تجربه بارها برای ما تکرار شده است.»

حمله شب گذشته به دیتاسنترها باعث شده تا کسب‌وکارهای مختلف و بزرگی برای چند ساعت از دسترس خارج شوند. خود دیتاسنترها با برگرداندن بکاپ و ارتقاء تجهیزات سیسکو مشکل را حل کرده‌اند اما در این میان تجهیزات برخی از کسب‌وکارها نیز دچار اختلال شده است. همچنین برخی از کسب‌وکارهای ایرانی از سرویس‌های CDN استفاده کرده‌اند که همین موضوع باعث شده زمان بیشتری صرف بازگشت آنها شود.

مرکز ماهر هم در بیانیه خود پیش‌بینی می‌کند که امروز سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه‌ی داخلی خود گردند.

تیم امنیتی Cisco Talos، در بلاگ خود می‌نویسد این حمله که از روز ۵ آوریل (۱۶ فروردین) آغاز شده، در سراسر جهان حدود ۱۶۸ هزار سیستم را تحت تاثیر قرار داده است؛ هرچند این آمار برای قبل از حمله به ایران است. این تیم گزارش می‌دهد که در سال ۲۰۱۶، حمله مشابهی به «Cisco Smart Install Clients» انجام شده بود که در آن زمان، ۲۵۱ سیستم را تحت تاثیر قرار داد.