O analiză a hack-ului Cisco 2022

Publicat: 2022-09-21

Pe 24 mai 2022, Cisco a fost informat de echipele sale de securitate că a existat o încălcare. Atacatorul reușise să obțină acces, să-și escaladeze privilegiile, să instaleze software de acces la distanță și de hacking și să ia măsuri pentru a menține accesul la sisteme. Ei au reușit să facă toate acestea pas câte unul. După cum vom vedea, acest lucru ar fi trebuit să fie ușor prevenit.

Deși suntem cu toții mai inteligenți când privim lucrurile retrospectiv, adevărul este că ceea ce s-a întâmplat cu Cisco se poate întâmpla oricui gestionează un mediu WordPress.

Acest articol va analiza pașii hackerilor către o încălcare de succes și modul în care fiecare proprietar și manager de site web WordPress poate preveni repetarea pe site-urile lor WordPress.

Cine a încălcat Cisco?

Nu se știu multe despre persoana sau persoanele din spatele breșei Cisco. Investigațiile au arătat că un IAB (Initial Access Broker) a efectuat atacul. După cum sugerează și numele, IAB-urile intră în sisteme, dar nu efectuează atacuri. Odată ce o încălcare are succes, aceștia instalează software pentru a menține acel acces. Accesul este apoi vândut sau dat altcuiva care va folosi accesul pentru a efectua atacul propriu-zis. Dovezile indică legături cu trei actori rău intenționați – UNC2447, Lapsus$ și Yanluowang.

Cum au încălcat Cisco

Pasul 1: parolele browserului

Atacatorul a obținut mai întâi acces la contul personal Google al unui angajat. Conectându-se la un browser Chrome folosind acreditările furate, atacatorul ar putea obține acces la parolele angajatului, deoarece acestea au fost salvate în browser și configurate pentru sincronizare.

Analiză

Browserele au parcurs un drum lung de pe vremurile Netscape și Internet Explorer (de atunci ambele browsere au fost incluse în analele istoriei computerelor). Sunt mult mai robuste, oferă un set de funcții mult mai bogat și sunt mai sigure decât înainte.

Parolele browserului sunt una dintre aceste îmbunătățiri – permițând utilizatorilor să-și salveze numele de utilizator și parolele direct în browser. Deși acest lucru este foarte convenabil, browserele nu impun cele mai bune practici de securitate pe care le fac managerii de parole, făcându-le vulnerabile la hacking.

Managerii de parole solicită utilizatorilor să folosească o parolă principală care trebuie să fie complexă în mod corespunzător și să cripteze orice parole salvate, făcându-le dificil de furat. Unii manageri de parole vă vor permite chiar să utilizați elemente biometrice, cum ar fi amprentele digitale sau fața, sporind securitatea și confortul.

În timp ce browserele au început să ajungă din urmă în ceea ce privește securitatea parolelor, ele nu au atins încă nivelul de manageri de parole, ceea ce le face o opțiune nepotrivită.

Un alt risc potențial de securitate aici este utilizarea parolelor simple. Cercetările efectuate de NordPass în 2021 arată că, în ciuda campaniilor substanțiale de conștientizare, parolele ridicol de nesigure sunt încă răspândite. De fapt, cercetătorii au descoperit că parola „123456” a fost utilizată de peste 103 milioane de ori, urmată de „123456789”, la fel de dubios, care a înregistrat peste 46 de milioane de instanțe. În cazul în care vă întrebați, clasice precum „parolă”, „qwerty” și „iloveyou” sunt încă prezente în listă.

Aceste parole durează mai puțin de o secundă să se spargă, ceea ce le face incredibil de nesigure. Problema agravează faptul că software-ul de spargere a parolelor a devenit mai avansat și poate chiar să ia în considerare înlocuirea caracterelor speciale, cum ar fi comutarea a cu @ sau e cu 3.

Prevenirea

Foarte puțini oameni le place să tasteze parole lungi și complexe, ceea ce îi determină pe oameni să utilizeze comenzi rapide. Cercetările susțin această afirmație, motiv pentru care este atât de important să ajutăm utilizatorii să folosească parole mai bune.

Încurajați o mai bună igienă a parolelor.

O parolă puternică este unul dintre cei mai importanți pași pe care îi puteți lua pentru a reduce riscurile. O politică puternică de parole WordPress vă poate ajuta să vă asigurați că utilizatorii nu folosesc parole precum „123456”, care, după cum ne arată cercetările, sunt încă foarte comune.

Folosind WPassword, un plugin pentru securitatea parolelor WordPress, vă puteți asigura că bunele practici privind parola sunt urmate până la un T. Vă puteți seta propria politică, ajutându-vă să obțineți un profil de politică de care sunteți confortabil și mulțumit.

Descurajarea utilizatorilor de a salva parolele în browserele lor este un alt pas important care vă poate ajuta pe dvs. (și pe utilizatorii dvs.) să reduceți riscurile. La urma urmei, nu doar parola lor WordPress riscă să fie furată – rețelele sociale, serviciile bancare și toate celelalte parole sunt la fel de expuse.

Managerii de parole au devenit mainstream, cu multe soluții din care să alegeți. Administratorii de parole nu numai că elimină riscurile asociate cu salvarea parolelor în browsere, dar vă pot ajuta și să găsiți parole mai puternice, iar unii chiar vă vor avertiza dacă a existat o scurgere de parolă.

Pasul 2: Inginerie socială

Odată ce atacatorul a reușit să acceseze contul angajatului, s-a apucat să înregistreze dispozitivele 2FA pentru a ocoli mecanismele de securitate oferite de 2FA. Cu 2FA fiind destul de robust, atacatorul a lansat un atac în două direcții care a folosit tactici de inginerie socială pentru a ocoli 2FA.

  • Prong One: oboseală 2FA – Într-un atac de oboseală 2FA, atacatorul încearcă să înregistreze mai multe dispozitive 2FA, forțând efectiv victima să facă față mai multor solicitări 2FA. Acest tip de atac este predominant în notificările push, deoarece tot ce trebuie să facă victima este să accepte – fie că este din ignoranță, oboseală sau altfel.
  • Prong Two: Vishing – Vishing este un tip de atac de inginerie socială în care atacatorul cheamă victima (phishing vocal), pretinzând că este cineva într-o poziție de autoritate. Această autoritate prefăcută este abuzată prin punerea victimei într-o poziție în care simte că nu are altă opțiune decât să se conformeze cerințelor apelantului. Aceste cereri pot include divulgarea de informații sau luarea anumitor acțiuni, cum ar fi clic pe anumite link-uri.

Analiză

Ingineria socială rămâne unul dintre cele mai utilizate instrumente pe care atacatorii le folosesc pentru a ocoli măsurile de securitate. În unele cazuri, atacatorilor le este mai ușor să înșele oamenii decât să se ocupe de sistemul de securitate. În acest caz, atacatorul a trebuit să recurgă la inginerie socială pentru a ocoli 2FA.

Ingineria socială vine sub mai multe forme, necesitând o politică de securitate cuprinzătoare pentru a se asigura că atacurile nu au succes. Pe măsură ce ingineria socială vizează oamenii, campaniile continue de conștientizare pot contribui în mare măsură la minimizarea și atenuarea riscurilor.

Ingineria socială se bazează pe o serie de principii, inclusiv intimidarea, urgența, familiaritatea, dovada socială, autoritatea și deficitul. Aceste principii sunt folosite în mod rău intenționat pentru a-i determina pe oameni să se conformeze cererilor la care altfel nu le-ar fi acceptat.

Prevenirea

Adăugați autentificare cu doi factori

Parolele puternice sunt doar o primă linie de apărare. 2FA este un alt aspect important al online-urilor bune

securitate care poate opri marea majoritate a atacurilor online. 2FA, necesită orice potențial atacator

pentru a avea acces și la telefonul unui utilizator înregistrat – ceva destul de dificil.

Atacatorii Cisco nu au reușit niciodată să ocolească apărarea 2FA – în schimb, s-au bazat pe tactici de înșelăciune pentru a păcăli

victima să accepte cererile lor – ceea ce le-a permis în cele din urmă să ocolească 2FA.

Chiar și așa, 2FA rămâne o soluție formidabilă pentru securitatea contului online, ajutând la oprirea atacurilor în calea lor sau, un

cel puțin, încetinindu-le. Din fericire, adăugarea 2FA pe site-ul dvs. WordPress este ușor.

Investește în utilizatorii tăi

Educația utilizatorilor este un instrument puternic care este prea des ignorat – până când apare un incident. După cum spune vechea zicală, este mai bine să previi decât să vindeci. A fi proactiv este mult mai benefic decât repararea daunelor.

Să aibă o politică care, printre altele, le cere utilizatorilor să raporteze solicitările 2FA la care nu se așteptau și să precizeze că, chiar dacă acceptă o astfel de solicitare din greșeală, aceasta ar trebui raportată. Utilizatorii se tem adesea de repercusiunile care decurg din astfel de greșeli, ceea ce duce la neraportarea unor astfel de incidente. Înțelegeți că acest lucru se poate întâmpla oricui – clemența și înțelegerea vă ajută atât pe dvs., cât și pe utilizatori.

Faceți-vă timp pentru a parcurge politica din când în când și, dacă este posibil, înscrieți utilizatorii la cursuri scurte de securitate cibernetică concepute pentru personal.

Pasul 3: escaladarea privilegiilor

Odată ce atacatorul a obținut accesul inițial, acesta a escaladat la privilegii la nivel de administrator, ceea ce le-a permis să acceseze mai multe sisteme. Acesta este ceea ce i-a dat în cele din urmă, în timp ce a alertat echipa de răspuns de securitate – care a putut să-i investigheze și să le elimine din mediu.

Analiză

În escaladarea privilegiilor, atacatorul încearcă să obțină acces la conturi cu un set de privilegii mai mare decât cel compromis inițial. Deoarece conturile cu autoritate inferioară nu sunt de obicei la fel de bine protejate ca conturile cu autoritate superioară, ele sunt mai ușor de pătruns. Odată ce accesul inițial este obținut, atacatorul ar putea dori să escaladeze privilegiile pentru a accesa date mai sensibile sau să facă mai multe daune.

Prevenirea

Deși WordPress este, în mare, o aplicație sigură, nu este imună la atacuri. Reducerea suprafeței de atac este esențială pentru a minimiza riscul. Acest proces de reducere a suprafeței de atac se numește întărire și se poate face la mai multe niveluri, inclusiv;

Întărirea WordPress
întărire PHP
Întărirea serverului web
Întărirea sistemului de operare (OS).
Întărirea MySQL

Subsistemele pe care le puteți consolida vor depinde de modul în care este găzduit WordPress. Dacă aveți un plan de găzduire WordPress, furnizorul dvs. de găzduire realizează majoritatea sarcinilor. Pe de altă parte, dacă vă gestionați propriul server, va trebui să vă întăriți singur fiecare subsistem.

Pasul 4: Instalarea sculei

Odată ce atacatorii au obținut suficiente privilegii (înainte ca echipa de răspuns la incident să încheie accesul), au instalat diverse instrumente de persistență pentru a se asigura că pot menține accesul. Aceste instrumente ar fi oferit acces viitor – indiferent dacă atacatorii plănuiau să re-viziteze sau să vândă accesul unei terțe părți.

Analiză

Instrumentele și metodele de persistență, cunoscute și sub numele de uși din spate, sunt de două ori periculoase, deoarece permit accesul pentru atacuri viitoare. Dacă nu sunt detectați, vor continua să ofere atacatorului acces continuu la mediu. Deoarece cele mai multe dintre aceste instrumente sunt concepute pentru a evita detectarea, găsirea lor poate necesita un pic de muncă suplimentară.

Furnizori precum Google pot, de asemenea, să blocheze domeniul sau IP-ul dvs., afectând negativ clasarea în motoarele dvs. de căutare. Acest lucru poate fi și mai dificil de recuperat, mai ales dacă s-au făcut daune considerabile înainte de a observa încălcarea.

Ușile din spate WordPress folosesc, de asemenea, mai multe funcții PHP, care le pot face mai ușor de detectat. Acest lucru nu înseamnă că TOATE ușile din spate folosesc anumite funcții PHP, dar este ceva de reținut.

Prevenirea

Găsirea tuturor programelor malware și software-ului pe care un atacator le lasă în urmă poate fi foarte dificilă. Majoritatea administratorilor WordPress tind să recurgă la o copie de rezervă anterioară înainte de încălcarea inițială. Mai multe companii oferă și servicii profesionale de curățare WordPress. Anumite pluginuri vă pot ajuta, de asemenea, să găsiți malware WordPress.

Un instrument neprețuit pe care ar trebui să-l utilizați este WordPress File Changes Monitor, un monitor al integrității fișierelor pentru WordPress. Acest plugin gratuit ia în esență un hash al sistemului dvs. de fișiere de fiecare dată când rulează și apoi îl compară cu hashul anterior. Hash-ul se va schimba complet dacă există cea mai mică modificare la oricare dintre fișiere. Acest lucru vă va permite să începeți investigațiile pentru a determina dacă a avut loc o încălcare.

Un alt instrument esențial care vă poate ajuta să urmăriți ceea ce se întâmplă sub capotă este WP Activity Log. Folosind acest plugin, veți păstra un jurnal de activitate WordPress care vă oferă informații profunde asupra activităților de utilizator și de sistem ale site-ului dvs. WordPress, permițându-vă să detectați devreme comportamentul suspect. Cu funcții precum integrările de pluginuri terță parte și alerte prin e-mail sau SMS, veți putea fi informat în orice moment.

Un plan de securitate cuprinzător este singurul plan de securitate

Atacul asupra Cisco arată că hackerii devin din ce în ce mai inovatori și mai sofisticați în efectuarea de atacuri – folosind mai mulți vectori pentru a-și crește șansele de a avea succes. În timp ce măsuri precum instalarea unui firewall rămân importante, acestea nu sunt glonțul de argint pe care înțelepciunea convențională le înfățișează. În schimb, este necesară o abordare mai holistică pentru a ne asigura că site-urile noastre WordPress sunt protejate pe toate fronturile.

După cum ne arată încălcarea Cisco, mai multe straturi sunt esențiale pentru a asigura consolidarea securității WordPress; totusi, elementul uman ramane esential. În multe privințe, utilizatorii sunt părți interesate în succesul oricărui site web WordPress și, în timp ce implementarea politicilor precum cel mai mic privilegiu este imperativă, la fel este și educația utilizatorilor.