Uma análise do hack da Cisco 2022
Publicados: 2022-09-21Em 24 de maio de 2022, a Cisco foi informada por suas equipes de segurança de que havia uma violação. O invasor conseguiu obter acesso, aumentar seus privilégios, instalar acesso remoto e software de hackers e tomar medidas para manter o acesso aos sistemas. Eles conseguiram fazer tudo isso um passo de cada vez. Como veremos, isso deveria ter sido facilmente evitável.
Embora sejamos todos mais inteligentes ao olhar para as coisas retrospectivamente, a verdade é que o que aconteceu com a Cisco pode ocorrer para qualquer pessoa que gerencia um ambiente WordPress.
Este artigo analisará as etapas dos hackers para uma violação bem-sucedida e como todos os proprietários e gerentes de sites WordPress podem evitar uma repetição em seus sites WordPress.
Quem violou a Cisco?
Não se sabe muito sobre a pessoa ou pessoas por trás da violação da Cisco. As investigações mostraram que um IAB (Initial Access Broker) realizou o ataque. Como o nome indica, os IABs invadem os sistemas, mas não realizam ataques. Depois que uma violação é bem-sucedida, eles instalam um software para manter esse acesso. O acesso é então vendido ou dado a outra pessoa que usará o acesso para realizar o ataque real. As evidências apontam para ligações com três atores maliciosos – UNC2447, Lapsus$ e Yanluowang.
Como eles violaram a Cisco
Etapa 1: senhas do navegador
O invasor primeiro obteve acesso à conta pessoal do Google de um funcionário. Ao fazer login em um navegador Chrome usando as credenciais roubadas, o invasor pode obter acesso às senhas do funcionário, pois elas foram salvas no navegador e configuradas para sincronização.
Análise
Os navegadores percorreram um longo caminho desde os velhos tempos do Netscape e do Internet Explorer (ambos os navegadores foram consignados aos anais da história do computador). Eles são muito mais robustos, oferecem um conjunto de recursos muito mais rico e são mais seguros do que costumavam ser.
As senhas do navegador são uma dessas melhorias – permitindo que os usuários salvem seus nomes de usuário e senhas diretamente no navegador. Embora isso seja muito conveniente, os navegadores não impõem o tipo de práticas recomendadas de segurança que os gerenciadores de senhas fazem, tornando-os vulneráveis a hackers.
Os gerenciadores de senhas exigem que os usuários usem uma senha mestra que deve ser apropriadamente complexa e criptografar todas as senhas salvas – tornando-as difíceis de roubar. Alguns gerenciadores de senhas permitem que você use dados biométricos, como impressões digitais ou rosto, aumentando a segurança e a conveniência.
Embora os navegadores tenham começado a se atualizar em termos de segurança de senha, eles ainda não atingiram o nível de gerenciadores de senhas, tornando-os uma opção inadequada.
Outro risco de segurança potencial aqui é o uso de senhas simples. Uma pesquisa realizada pela NordPass em 2021 mostra que, apesar das campanhas de conscientização substanciais, as senhas ridiculamente inseguras ainda prevalecem. De fato, os pesquisadores descobriram que a senha '123456' estava em uso mais de 103 milhões de vezes, seguida pela igualmente duvidosa '123456789', que registrou mais de 46 milhões de instâncias. Caso você esteja se perguntando, clássicos como 'senha', 'qwerty' e 'iloveyou' ainda estão presentes na lista.
Essas senhas levam menos de um segundo para serem quebradas, tornando-as incrivelmente inseguras. Para agravar o problema, está o fato de que o software de quebra de senha ficou mais avançado e pode até explicar substituições de caracteres especiais, como alternar a por @ ou e por 3.
Prevenção
Muito poucas pessoas gostam de digitar senhas longas e complexas, levando as pessoas a usar atalhos. A pesquisa apóia essa afirmação e é por isso que é tão importante ajudar os usuários a usar senhas melhores.
Incentive uma melhor higiene de senha.
Uma senha forte é uma das etapas mais importantes que você pode tomar para mitigar os riscos. Uma política de senha forte do WordPress pode ajudá-lo a garantir que os usuários não usem senhas como '123456', que, como a pesquisa nos mostra, ainda são muito comuns.
Usando o WPassword, um plug-in de segurança de senha do WordPress, você pode garantir que as boas práticas de senha sejam seguidas à risca. Você pode definir sua própria política, ajudando você a alcançar um perfil de política com o qual esteja confortável e satisfeito.
Desencorajar os usuários de salvar senhas em seus navegadores é outra etapa importante que pode ajudar você (e seus usuários) a mitigar os riscos. Afinal, não é apenas a senha do WordPress que corre o risco de ser roubada – mídias sociais, bancos e todas as outras senhas estão igualmente em risco.
Os gerenciadores de senhas se tornaram populares, com muitas soluções para escolher. Os gerenciadores de senhas não apenas eliminam os riscos associados ao salvar senhas em navegadores, mas também podem ajudá-lo a criar senhas mais fortes, e alguns até o alertam se houver um vazamento de senha.
Etapa 2: engenharia social
Uma vez que o invasor conseguiu acessar a conta do funcionário, eles começaram a registrar dispositivos 2FA para contornar os mecanismos de segurança oferecidos pelo 2FA. Com o 2FA sendo bastante robusto, o invasor lançou um ataque em duas frentes que fez uso de táticas de engenharia social para contornar o 2FA.
- Ponta 1: fadiga 2FA – Em um ataque de fadiga 2FA, o invasor tenta registrar vários dispositivos 2FA, forçando efetivamente a vítima a lidar com várias solicitações 2FA. Esse tipo de ataque é predominante em notificações push, pois tudo o que a vítima precisa fazer é aceitar – seja por ignorância, fadiga ou de outra forma.
- Ponta Dois: Vishing – Vishing é um tipo de ataque de engenharia social no qual o invasor chama a vítima (phishing de voz), alegando ser alguém em posição de autoridade. Essa autoridade fingida é abusada colocando a vítima em uma posição em que ela sente que não tem outra opção a não ser cumprir as exigências do interlocutor. Essas demandas podem incluir a divulgação de informações ou a realização de determinadas ações, como clicar em links específicos.
Análise
A engenharia social continua sendo uma das ferramentas mais usadas pelos invasores para contornar as medidas de segurança. Em alguns casos, os invasores podem achar mais fácil enganar as pessoas do que lidar com o sistema de segurança. Nesse caso, o invasor teve que recorrer à engenharia social para contornar o 2FA.
A engenharia social vem em muitas formas, exigindo uma política de segurança abrangente para garantir que os ataques não sejam bem-sucedidos. Como a engenharia social tem como alvo as pessoas, as campanhas contínuas de conscientização podem ajudar bastante a minimizar e mitigar os riscos.
A engenharia social se baseia em vários princípios, incluindo intimidação, urgência, familiaridade, prova social, autoridade e escassez. Esses princípios são usados de forma maliciosa para fazer com que as pessoas cumpram solicitações às quais, de outra forma, não teriam atendido.
Prevenção
Adicionar autenticação de dois fatores
Senhas fortes são apenas uma primeira linha de defesa. 2FA é outro aspecto importante de bons s online
segurança que é capaz de parar a grande maioria dos ataques online. 2FA, requer qualquer invasor em potencial
para também ter acesso ao telefone de um usuário cadastrado – algo bastante difícil.
Os invasores da Cisco nunca conseguiram contornar as defesas do 2FA – em vez disso, eles confiaram em táticas de engano para enganar
a vítima em atender aos seus pedidos - o que finalmente permitiu que eles ignorassem o 2FA.
Mesmo assim, o 2FA continua sendo uma solução formidável para a segurança de contas online, ajudando a impedir ataques em suas trilhas ou, um
t muito menos, retardando-os. Felizmente, adicionar 2FA ao seu site WordPress é fácil.
Invista em seus usuários
A educação do usuário é uma ferramenta poderosa que é muitas vezes ignorada – até que ocorra um incidente. Como diz o velho ditado, é melhor prevenir do que remediar. Ser proativo é muito mais benéfico do que reparar os danos.
Tenha uma política que, entre outras coisas, peça aos usuários que relatem solicitações de 2FA que não esperavam e deixe claro que, mesmo que aceitem qualquer solicitação por engano, ela deve ser relatada. Os usuários muitas vezes têm medo das repercussões decorrentes de tais erros, fazendo com que tais incidentes não sejam relatados. Entenda que isso pode acontecer com qualquer pessoa – clemência e compreensão ajudam você e seus usuários.
Aproveite o tempo para revisar a política de vez em quando e, se possível, inscreva os usuários em cursos curtos de segurança cibernética projetados para funcionários.
Etapa 3: escalonamento de privilégios
Uma vez que o invasor obteve acesso inicial, ele escalou para privilégios de nível de administrador, o que lhes permitiu acessar vários sistemas. Foi isso que acabou por denunciá-los, pois alertou a equipe de resposta de segurança – que conseguiu investigá-los e removê-los do ambiente.
Análise
Na escalação de privilégios, o invasor tenta obter acesso a contas com um conjunto de privilégios maior do que o inicialmente comprometido. Como as contas de autoridade inferior geralmente não são tão fortemente protegidas quanto as contas de autoridade superior, elas são mais fáceis de invadir. Depois que o acesso inicial é obtido, o invasor pode querer escalar privilégios para acessar dados mais confidenciais ou causar mais danos.
Prevenção
Embora o WordPress seja, em geral, um aplicativo seguro, ele não é imune a ataques. Reduzir a área de superfície de ataque é imperativo para minimizar o risco. Esse processo de redução da área de superfície de ataque é chamado de endurecimento e pode ser feito em vários níveis, incluindo;
Proteção do WordPress
Proteção PHP
Proteção do servidor web
Endurecimento do SO (Sistema Operacional)
Proteção do MySQL
Quais subsistemas você pode fortalecer dependerão de como seu WordPress está hospedado. Se você possui um plano de hospedagem WordPress, seu provedor de hospedagem realiza a maioria das tarefas. Por outro lado, se você gerenciar seu próprio servidor, precisará proteger cada subsistema por conta própria.
Etapa 4: instalação da ferramenta
Depois que os invasores obtiveram privilégios suficientes (antes que a equipe de resposta a incidentes encerrasse o acesso), eles instalaram várias ferramentas de persistência para garantir que pudessem manter o acesso. Essas ferramentas forneceriam acesso futuro – se os invasores planejassem revisitar ou vender o acesso a terceiros.
Análise
Ferramentas e métodos de persistência, também conhecidos como backdoors, são duplamente perigosos, pois permitem o acesso a ataques futuros. Caso não sejam detectados, eles continuarão a fornecer ao invasor acesso contínuo ao ambiente. Como a maioria dessas ferramentas é projetada para evitar a detecção, encontrá-las pode exigir um pouco de trabalho extra.
Fornecedores como o Google também podem bloquear seu domínio ou IP, afetando negativamente sua classificação no mecanismo de pesquisa. Isso pode ser ainda mais difícil de recuperar, especialmente se um dano considerável foi causado antes de perceber a violação.
Os backdoors do WordPress também fazem uso de várias funções PHP, o que pode torná-los mais fáceis de detectar. Isso não significa que TODOS os backdoors usam certas funções do PHP, mas é algo para se ter em mente.
Prevenção
Encontrar todos os malwares e softwares que um invasor deixa para trás pode ser muito difícil. A maioria dos administradores do WordPress tende a recorrer a um backup anterior antes da violação inicial. Várias empresas também oferecem serviços profissionais de limpeza do WordPress. Certos plugins também podem ajudá-lo a encontrar malware do WordPress.
Uma ferramenta inestimável que você deve usar é o WordPress File Changes Monitor, um monitor de integridade de arquivos para WordPress. Este plugin gratuito essencialmente pega um hash do seu sistema de arquivos toda vez que é executado e o compara com o hash anterior. O hash mudará completamente se houver a menor alteração em qualquer um dos arquivos. Isso permitirá que você inicie suas investigações para determinar se ocorreu uma violação.
Outra ferramenta essencial que pode ajudá-lo a acompanhar o que está acontecendo nos bastidores é o WP Activity Log. Usando este plug-in, você manterá um log de atividades do WordPress que fornece informações detalhadas sobre as atividades do usuário e do sistema do seu site WordPress, permitindo que você descubra comportamentos suspeitos desde o início. Com recursos como integrações de plugins de terceiros e alertas por e-mail ou SMS, você poderá se manter informado o tempo todo.
Um plano de segurança abrangente é o único plano de segurança
O ataque à Cisco mostra que os hackers estão ficando mais inovadores e sofisticados na realização de ataques – usando vários vetores para aumentar suas chances de uma violação bem-sucedida. Embora medidas como a instalação de um firewall continuem sendo importantes, elas não são a bala de prata que a sabedoria convencional retrata. Em vez disso, é necessária uma abordagem mais holística para garantir que nossos sites WordPress sejam protegidos em todas as frentes.
Como a violação da Cisco nos mostra, várias camadas são essenciais para garantir o fortalecimento da segurança do WordPress; no entanto, o elemento humano permanece essencial. De muitas maneiras, os usuários são partes interessadas no sucesso de qualquer site WordPress e, embora a implementação de políticas como privilégio mínimo seja imperativa, a educação do usuário também.