En analys av Cisco 2022 hack

logo

Av Kaj Johnson

2022-10-24

Den 24 maj 2022 fick Cisco veta av sina säkerhetsteam att det hade skett ett intrång. Angriparen hade lyckats få åtkomst, eskalera sina privilegier, installera fjärråtkomst och hacknings­program och vidta åtgärder för att behålla tillgång till systemen. De lyckades göra allt detta, ett steg i taget, och detta kom sedan att kallas ”Cisco 2022 hack”.

Vem angrep Cisco?

Undersökningar har visat att en IAB (”Initial Access Broker”) utförde attacken. Som namnet antyder bryter IAB sig in i system men utför inga attacker.

När ett intrång har lyckats installerar de programvara för att behålla den åtkomsten. Åtkomsten säljs sedan eller ges till någon annan som kommer att använda åtkomsten för att utföra själva attacken. Bevis pekar på kopplingar till tre aktörer – UNC2447, Lapsus$ och Yanluowang.

Hur gick angreppet till?

Steg 1: Lösenord i webbläsare

Angriparen fick först tillgång till en anställds personliga Google-konto. Genom att logga in på en Chrome-webbläsare med de stulna loginuppgifterna kunde angriparen få tillgång till medarbetarens lösenord eftersom de hade sparats i webbläsaren och konfigurerats för att synkronisera.

Analys

Webbläsarna har kommit långt sedan gamla tiders Netscape och Internet Explorer. De är i dag mycket mer robusta, erbjuder en mycket rikare funktionsuppsättning och är säkrare än de brukade vara.

Webbläsarlösenord är en sådan förbättring – vilket gör att användare kan spara sina användarnamn och lösenord direkt i webbläsaren. Även om detta är väldigt bekvämt, tillämpar inte webbläsare den typ av säkerhetspraxis som lösenordshanterare gör, vilket gör dem sårbara för hackning.

Lösenordshanterare kräver att användarna använder ett huvudlösenord som måste vara tillräckligt komplext och krypterar alla sparade lösenord – vilket gör dem svåra att stjäla.

Vissa lösenordshanterare tillåter dig till och med att använda biometri som dina fingeravtryck eller ansikte – vilket ökar säkerheten och bekvämligheten.

En annan potentiell säkerhetsrisk här är användningen av enkla lösenord. Forskning utförd av NordPass 2021 visar att trots omfattande informationskampanjer är löjligt osäkra lösenord fortfarande vanliga. Faktum är att forskarna fann att lösenordet ”123456” användes över 103 miljoner gånger, följt av det lika tveksamma ”123456789”, som fanns i över 46 miljoner fall.

Om du undrar så finns klassiker som ”password”, ”qwerty” och ”iloveyou” fortfarande kvar på listan.

Förebyggande

Få människor tycker om att skriva långa och komplexa lösenord, vilket leder till att folk tar genvägar. Forskning stödjer detta påstående och det är därför det är så viktigt att hjälpa användare att använda bättre lösenord.

Uppmuntra till bättre lösenordshygien.

Ett starkt lösenord är ett av de viktigaste stegen du kan vidta för att minska riskerna. En stark WordPress-lösenordspolicy kan hjälpa dig att säkerställa att användare inte använder lösenord som ”123456”,

Ett annat viktigt steg för att minska riskerna är att inte spara lösenord i webbläsaren. När allt kommer omkring är det inte bara WordPress-lösenord som riskerar att bli stulet – sociala medier, banktjänster och alla andra lösenord är lika utsatta.

Lösenordshanterare har blivit vanliga, med många lösningar att välja mellan. Lösenordshanterare eliminerar inte bara riskerna med att spara lösenord i webbläsare, utan de kan också hjälpa till att komma på starkare lösenord, och vissa kommer till och med att varna om det har skett en lösenordsläcka.

Steg 2: Social engineering

Efter att angriparen lyckades komma åt den anställdes konto började de registrera 2FA-enheter för att kringgå säkerhetsmekanismerna som erbjuds av 2FA.

Eftersom 2FA är ganska robust, lanserade angriparen en tvådelad attack som använde sig av social ingenjörsteknik för att kringgå 2FA.

  • Attack 1: Uttröttning
    Vid en 2FA-trötthetsattack försöker angriparen registrera flera 2FA-enheter, vilket effektivt tvingar offret att hantera flera 2FA-förfrågningar. Detta sker vanligtvis på natten när den ansvarige sover och väcks konstant av att mobiltelefonen mottar en stor mängd push-meddelanden eftersom allt offret behöver göra är att acceptera – oavsett om det är genom okunnighet, trötthet eller annat.
  • Attack 2: Vishing
    Vishing är en typ av social ingenjörsattack där angriparen ringer offret (röstfiske) och påstår sig vara någon i en auktoritetsposition. Denna låtsade auktoritet missbrukas genom att försätta offret i en position där de känner att de inte har något annat val än att följa uppringarens krav. Dessa krav kan innefatta att avslöja information eller vidta vissa åtgärder, som att klicka på specifika länkar.

Analys

Social ingenjörskonst är fortfarande ett av de mest använda verktygen som angripare använder för att kringgå säkerhetsåtgärder. I vissa fall kan angripare ha lättare att lura människor än att hantera säkerhetssystemet. I det här fallet var angriparen tvungen att ta till social ingenjörskonst för att kringgå 2FA.

Social ingenjörskonst kommer i många former, vilket kräver en omfattande säkerhetspolicy för att säkerställa att attacker inte lyckas. Eftersom social ingenjörskonst riktar sig till människor kan utbildning i säkerhetsmedvetande nå långt för att minimera och mildra risker.

Social ingenjörskonst bygger på ett antal principer, inklusive hot, brådska, förtrogenhet, socialt bevis, auktoritet och brist. Dessa principer används med uppsåt för att få människor att följa förfrågningar som de annars inte skulle ha accepterat.

Förebyggande

Använd tvåfaktorsautentisering

Starka lösenord är bara en första försvarslinje. 2FA är en annan viktig aspekt av bra onlinesäkerhet som kan stoppa de allra flesta onlineattacker. 2FA kräver att alla potentiella angripare också får tillgång till en registrerad användares telefon – något som är ganska svårt.

Ciscos angripare lyckades aldrig kringgå 2FA:s försvar – istället förlitade de sig på bedrägeritaktik för att lura offret att gå med på deras förfrågningar – vilket till slut gjorde det möjligt för dem att kringgå 2FA.

Trots det förblir 2FA en formidabel lösning för säkerhet som stoppar attacker eller åtminstone sakta ner dem. Lyckligtvis är det enkelt att lägga till 2FA på en WordPress-webbplats.

Investera i användarna

Användarutbildning är ett kraftfullt verktyg som alltför ofta ignoreras – tills det inträffar en incident. Som ordspråket säger är förebyggande bättre än botemedel. Att vara proaktiv är mycket mer fördelaktigt än att reparera skadan.

Ha en policy som bland annat ber användare att rapportera 2FA-förfrågningar som de inte förväntade sig och gör det klart att även om de accepterar en sådan begäran av misstag – ska den rapporteras. Användare kan vara rädda för konsekvensen av ett sådant misstag, vilket leder till att sådana incidenter inte rapporteras.

Förstå att detta kan hända vem som helst. Ta er tid att gå igenom policyn då och då och, om möjligt, inför cybersäkerhetskurser på ert företag.

Steg 3: Upptrappning av privilegier

När angriparen väl fick fotfäste eskalerade de behörigheten till administratörsnivå, vilket gjorde att de kunde få åtkomst till flera system. Detta var också detta som slutligen avslöjade dem eftersom det varnade säkerhetsteamet som kunde undersöka och stoppa angreppet, det som sedan kom att kallas för ”Cisco 2022 hack”.

Analys

I privilegieskalering försöker angriparen få åtkomst till konton med en högre uppsättning privilegier än den som först komprometterades. Eftersom konton med lägre auktoritet vanligtvis inte är lika starkt skyddade som konton med högre auktoritet, så är de lättare att bryta sig in i.

Förebyggande

Även om WordPress i stort sett är en säker applikation, är den inte immun mot attacker – inget system är det. Att minska attackytan är absolut nödvändigt för att minimera risken. Denna process för att minska attackytan kallas härdning och kan göras på flera nivåer, inklusive;

  • WordPress härdning
  • PHP-härdning
  • Webbserverhärdning
  • OS (operativsystem) härdning
  • MySQL-härdning

Vilka delsystem du kan härda beror på hur webbplatsen drivs. Om du har ett konto på ett webbhotell utför leverantören vanligtvis de flesta uppgifterna, kontrollera med webhotellet vad som ingår. Å andra sidan, om du hanterar din egen server måste du härda varje delsystem själv.

Steg 4: Installation av verktyg

När angriparna väl fått tillräckligt med privilegier (innan säkerhetsavdelningen stängde åtkomsten till kontot) installerade de olika verktyg för att säkerställa att de kunde behålla åtkomsten. Dessa verktyg skulle ha gett framtida tillgång – oavsett om angriparna planerade att återbesöka eller sälja åtkomsten till en tredje part.

Analys

Dessa verktyg och metoder, även kända som bakdörrar, är dubbelt så farliga eftersom de tillåter åtkomst för framtida attacker. Om de inte upptäcks kommer de att fortsätta att ge angriparen kontinuerlig tillgång till miljön. Eftersom de flesta av dessa verktyg är utformade för att undvika upptäckt kan det vara svårt att hitta dem.

Leverantörer som Google kan också blockera er domän eller IP-adress, vilket negativt påverkar sökmotorrankningen. Detta kan vara ännu svårare att återhämta sig från, särskilt om avsevärd skada gjordes innan man upptäckte intrånget.

Förebyggande

Att hitta all skadlig programvara och programvara som en angripare lämnar efter sig kan vara mycket svårt. En del WordPress-administratörer lägger tillbaka en tidigare säkerhetskopia från före det första intrånget.

Problemet kan vara att veta när angreppet skedde och risken är att även säkerhetskopian innehåller bakdörrarna.

Rekommenderat är att anlita ett expert företag som utför rensning av den skadliga koden.

En omfattande säkerhetsplan är den enda planen

Attacken med Cisco 2022 hack visar att hackare blir allt mer innovativa och sofistikerade när det gäller att utföra attacker – med hjälp av flera attackytor för att öka sina chanser till ett framgångsrikt intrång.

Även om åtgärder som att installera en brandvägg fortfarande är viktiga, är de inte den silverkula som konventionell visdom skildrar dem att vara. Istället krävs ett större helhetsgrepp för att säkerställa att webbplatsen är skyddad på alla fronter.

Som Cisco-intrånget visar är flera lager kritiska för att säkerställa cybersäkerhet; men det mänskliga elementet förblir det väsentligaste. Även om det är absolut nödvändigt att implementera policyer såsom ”Principen om Minsta Privilegium”, så är användarutbildning det viktigaste steget för att uppnå hög cybersäkerhet.

Innehåll