Une analyse du piratage de Cisco 2022

Le 24 mai 2022, Cisco a été informé par ses équipes de sécurité qu'il y avait eu une brèche. L'attaquant avait réussi à accéder, à élever ses privilèges, à installer un logiciel d'accès à distance et de piratage et à prendre des mesures pour maintenir l'accès aux systèmes. Ils ont réussi à faire tout cela une étape à la fois. Comme nous le verrons, cela aurait dû être facilement évitable.

Bien que nous soyons tous plus intelligents lorsque nous regardons les choses rétrospectivement, la vérité est que ce qui est arrivé à Cisco peut arriver à quiconque gère un environnement WordPress.

Cet article examinera les étapes des pirates vers une violation réussie et comment chaque propriétaire et gestionnaire de site Web WordPress peut empêcher une répétition sur leurs sites Web WordPress.

Qui a piraté Cisco ?

On ne sait pas grand-chose sur la personne ou les personnes derrière la violation de Cisco. Les enquêtes ont montré qu'un IAB (Initial Access Broker) a mené l'attaque. Comme leur nom l'indique, les IAB pénètrent dans les systèmes mais n'effectuent pas d'attaques. Une fois qu'une violation est réussie, ils installent un logiciel pour maintenir cet accès. L'accès est ensuite vendu ou donné à quelqu'un d'autre qui utilisera l'accès pour mener l'attaque proprement dite. Les preuves indiquent des liens avec trois acteurs malveillants - UNC2447, Lapsus $ et Yanluowang.

Comment ils ont piraté Cisco

Étape 1 : Mots de passe du navigateur

L'attaquant a d'abord eu accès au compte Google personnel d'un employé. En se connectant à un navigateur Chrome à l'aide des informations d'identification volées, l'attaquant pourrait accéder aux mots de passe de l'employé puisqu'ils avaient été enregistrés dans le navigateur et configurés pour se synchroniser.

Une analyse

Les navigateurs ont parcouru un long chemin depuis l'époque de Netscape et d'Internet Explorer (les deux navigateurs ont depuis été consignés dans les annales de l'histoire de l'informatique). Ils sont beaucoup plus robustes, offrent un ensemble de fonctionnalités beaucoup plus riche et sont plus sécurisés qu'auparavant.

Les mots de passe du navigateur sont l'une de ces améliorations - permettant aux utilisateurs d'enregistrer leurs noms d'utilisateur et mots de passe directement dans le navigateur. Bien que cela soit très pratique, les navigateurs n'appliquent pas le type de meilleures pratiques de sécurité que les gestionnaires de mots de passe appliquent, ce qui les rend vulnérables au piratage.

Les gestionnaires de mots de passe exigent que les utilisateurs utilisent un mot de passe principal qui doit être suffisamment complexe et chiffrer tous les mots de passe enregistrés, ce qui les rend difficiles à voler. Certains gestionnaires de mots de passe vous permettent même d'utiliser des données biométriques telles que vos empreintes digitales ou votre visage, ce qui augmente la sécurité et la commodité.

Alors que les navigateurs ont commencé à rattraper leur retard en termes de sécurité des mots de passe, ils n'ont pas encore atteint le niveau des gestionnaires de mots de passe, ce qui en fait une option inadaptée.

Un autre risque de sécurité potentiel ici est l'utilisation de mots de passe simples. Les recherches menées par NordPass en 2021 montrent que malgré les importantes campagnes de sensibilisation, les mots de passe ridiculement dangereux sont toujours répandus. En fait, les chercheurs ont découvert que le mot de passe « 123456 » était utilisé plus de 103 millions de fois, suivi du tout aussi douteux « 123456789 », qui a été utilisé plus de 46 millions de fois. Au cas où vous vous poseriez la question, des classiques tels que 'password', 'qwerty' et 'iloveyou' sont toujours présents dans la liste.

Ces mots de passe prennent moins d'une seconde à se fissurer, ce qui les rend incroyablement dangereux. Le problème est aggravé par le fait que les logiciels de piratage de mots de passe sont devenus plus avancés et peuvent même prendre en compte des remplacements de caractères spéciaux tels que le remplacement de a par @ ou e par 3.

La prévention

Très peu de gens aiment taper des mots de passe longs et complexes, ce qui amène les gens à prendre des raccourcis. La recherche soutient cette affirmation, c'est pourquoi il est si important d'aider les utilisateurs à utiliser de meilleurs mots de passe.

Encouragez une meilleure hygiène des mots de passe.

Un mot de passe fort est l'une des mesures les plus importantes que vous puissiez prendre pour atténuer les risques. Une politique de mot de passe WordPress solide peut vous aider à vous assurer que les utilisateurs n'utilisent pas de mots de passe tels que « 123456 », qui, comme le montrent les recherches, sont encore très courants.

En utilisant WPassword, un plugin de sécurité de mot de passe WordPress, vous pouvez vous assurer que les bonnes pratiques de mot de passe sont suivies jusqu'au bout. Vous pouvez définir votre propre politique, vous aidant à obtenir un profil de politique avec lequel vous êtes à l'aise et satisfait.

Décourager les utilisateurs d'enregistrer les mots de passe dans leurs navigateurs est une autre étape importante qui peut vous aider (ainsi que vos utilisateurs) à atténuer les risques. Après tout, ce n'est pas seulement leur mot de passe WordPress qui risque d'être volé - les réseaux sociaux, les services bancaires et tous les autres mots de passe sont également à risque.

Les gestionnaires de mots de passe sont devenus courants, avec de nombreuses solutions parmi lesquelles choisir. Non seulement les gestionnaires de mots de passe éliminent les risques associés à l'enregistrement des mots de passe dans les navigateurs, mais ils peuvent également vous aider à trouver des mots de passe plus forts, et certains vous alerteront même en cas de fuite de mot de passe.

Étape 2 : Ingénierie sociale

Une fois que l'attaquant a réussi à accéder au compte de l'employé, il s'est mis à enregistrer des appareils 2FA pour contourner les mécanismes de sécurité offerts par 2FA. 2FA étant assez robuste, l'attaquant a lancé une attaque à deux volets qui a utilisé des tactiques d'ingénierie sociale pour contourner 2FA.

• Prong One: 2FA fatigue - Dans une attaque de fatigue 2FA, l'attaquant tente d'enregistrer plusieurs appareils 2FA, forçant ainsi la victime à traiter plusieurs demandes 2FA. Ce type d'attaque est surtout répandu dans les notifications push puisque tout ce que la victime a à faire est d'accepter, que ce soit par ignorance, fatigue ou autre.
• Prong Two: Vishing - Le vishing est un type d'attaque d'ingénierie sociale dans laquelle l'attaquant appelle la victime (hameçonnage vocal), prétendant être quelqu'un en position d'autorité. Cette autorité feinte est abusée en mettant la victime dans une position où elle sent qu'elle n'a d'autre choix que de se conformer aux exigences de l'appelant. Ces demandes peuvent inclure la divulgation d'informations ou la réalisation de certaines actions, telles que cliquer sur des liens spécifiques.

Une analyse

L'ingénierie sociale reste l'un des outils les plus utilisés par les attaquants pour contourner les mesures de sécurité. Dans certains cas, les attaquants peuvent trouver plus facile d'arnaquer les gens que de traiter avec le système de sécurité. Dans ce cas, l'attaquant a dû recourir à l'ingénierie sociale pour contourner 2FA.

L'ingénierie sociale se présente sous de nombreuses formes, nécessitant une politique de sécurité complète pour s'assurer que les attaques ne réussissent pas. Comme l'ingénierie sociale cible les gens, des campagnes de sensibilisation continues peuvent grandement contribuer à minimiser et à atténuer les risques.

L'ingénierie sociale repose sur un certain nombre de principes, notamment l'intimidation, l'urgence, la familiarité, la preuve sociale, l'autorité et la rareté. Ces principes sont utilisés de manière malveillante pour amener les gens à se conformer à des demandes auxquelles ils n'auraient pas adhéré autrement.

La prévention

Ajouter une authentification à deux facteurs

Les mots de passe forts ne sont qu'une première ligne de défense. 2FA est un autre aspect important d'un bon s en ligne

sécurité capable de stopper la grande majorité des attaques en ligne. 2FA, nécessite tout attaquant potentiel

pour accéder également au téléphone d'un utilisateur enregistré - quelque chose qui est assez difficile.

Les attaquants de Cisco n'ont jamais réussi à contourner les défenses de 2FA - au lieu de cela, ils se sont appuyés sur des tactiques de tromperie pour tromper t

il a été victime d'accéder à leurs demandes - ce qui leur a finalement permis de contourner 2FA.

Même ainsi, 2FA reste une solution formidable pour la sécurité des comptes en ligne, aidant à arrêter les attaques dans leur élan ou, un

à tout le moins, en les ralentissant. Heureusement, ajouter 2FA à votre site Web WordPress est facile.

Investissez dans vos utilisateurs

L'éducation des utilisateurs est un outil puissant qui est trop souvent ignoré - jusqu'à ce qu'il y ait un incident. Comme le dit le vieil adage, mieux vaut prévenir que guérir. Être proactif est bien plus bénéfique que de réparer les dégâts.

Ayez une politique qui, entre autres, demande aux utilisateurs de signaler les demandes 2FA auxquelles ils ne s'attendaient pas et indiquez clairement que même s'ils acceptent une telle demande par erreur, celle-ci doit être signalée. Les utilisateurs ont souvent peur des répercussions découlant de telles erreurs, conduisant à ce que ces incidents ne soient pas signalés. Comprenez que cela peut arriver à n'importe qui - la clémence et la compréhension vous aident, vous et vos utilisateurs.

Prenez le temps de parcourir la politique de temps en temps et, si possible, inscrivez les utilisateurs à de courts cours de cybersécurité conçus pour le personnel.

Étape 3 : Élévation des privilèges

Une fois que l'attaquant a obtenu l'accès initial, il est passé aux privilèges de niveau administrateur, ce qui lui a permis d'accéder à plusieurs systèmes. C'est ce qui les a finalement révélés en alertant l'équipe d'intervention de sécurité, qui a pu enquêter et les retirer de l'environnement.

Une analyse

Dans l'escalade de privilèges, l'attaquant tente d'accéder à des comptes avec un ensemble de privilèges plus élevé que celui initialement compromis. Étant donné que les comptes à autorité inférieure ne sont généralement pas aussi bien protégés que les comptes à autorité supérieure, ils sont plus faciles à pénétrer. Une fois l'accès initial obtenu, l'attaquant peut vouloir élever les privilèges pour accéder à des données plus sensibles ou faire plus de dégâts.

La prévention

Bien que WordPress soit, dans l'ensemble, une application sécurisée, il n'est pas à l'abri des attaques. Réduire la surface d'attaque est impératif pour minimiser les risques. Ce processus de réduction de la surface d'attaque est appelé durcissement et peut se faire à plusieurs niveaux, notamment ;

Durcissement de WordPress
Durcissement PHP
Durcissement du serveur Web
Durcissement du système d'exploitation (système d'exploitation)
Durcissement MySQL

Les sous-systèmes que vous pouvez renforcer dépendront de la manière dont votre WordPress est hébergé. Si vous avez un plan d'hébergement WordPress, votre fournisseur d'hébergement effectue la plupart des tâches. En revanche, si vous gérez votre propre serveur, vous devrez renforcer vous-même chaque sous-système.

Étape 4 : installation de l'outil

Une fois que les attaquants ont obtenu suffisamment de privilèges (avant que l'équipe de réponse aux incidents ne mette fin à l'accès), ils ont installé divers outils de persistance pour s'assurer qu'ils pouvaient conserver l'accès. Ces outils auraient fourni un accès futur, que les attaquants aient prévu de revenir ou de vendre l'accès à un tiers.

Une analyse

Les outils et méthodes de persistance, également connus sous le nom de portes dérobées, sont doublement dangereux car ils permettent l'accès pour de futures attaques. S'ils ne sont pas détectés, ils continueront à fournir à l'attaquant un accès continu à l'environnement. Comme la plupart de ces outils sont conçus pour éviter la détection, les trouver peut demander un peu plus de travail.

Des fournisseurs comme Google peuvent également bloquer votre domaine ou votre adresse IP, ce qui affecte négativement votre classement dans les moteurs de recherche. Cela peut être encore plus difficile à récupérer, surtout si des dommages considérables ont été causés avant de remarquer la brèche.

Les portes dérobées WordPress utilisent également plusieurs fonctions PHP, ce qui peut les rendre plus faciles à détecter. Cela ne signifie pas que TOUTES les portes dérobées utilisent certaines fonctions PHP, mais c'est quelque chose à garder à l'esprit.

La prévention

Trouver tous les logiciels malveillants et logiciels qu'un attaquant laisse derrière lui peut être très difficile. La plupart des administrateurs WordPress ont tendance à recourir à une sauvegarde antérieure à la violation initiale. Plusieurs entreprises proposent également des services de nettoyage WordPress professionnels. Certains plugins peuvent également vous aider à trouver des logiciels malveillants WordPress.

Un outil inestimable que vous devriez utiliser est WordPress File Changes Monitor, un moniteur d'intégrité des fichiers pour WordPress. Ce plugin gratuit prend essentiellement un hachage de votre système de fichiers à chaque fois qu'il s'exécute, puis le compare au hachage précédent. Le hachage changera complètement s'il y a le moindre changement dans l'un des fichiers. Cela vous permettra de commencer vos enquêtes pour déterminer si une violation s'est produite.

Un autre outil essentiel qui peut vous aider à suivre ce qui se passe sous le capot est le journal d'activité WP. En utilisant ce plugin, vous conserverez un journal d'activité WordPress qui vous donnera un aperçu approfondi des activités des utilisateurs et du système de votre site Web WordPress, vous permettant de détecter rapidement les comportements suspects. Avec des fonctionnalités telles que les intégrations de plug-ins tiers et les alertes par e-mail ou SMS, vous pourrez rester informé à tout moment.

Un plan de sécurité complet est le seul plan de sécurité

L'attaque contre Cisco montre que les pirates deviennent de plus en plus innovants et sophistiqués dans la réalisation d'attaques - en utilisant plusieurs vecteurs pour augmenter leurs chances de réussite. Bien que des mesures telles que l'installation d'un pare-feu restent importantes, elles ne sont pas la solution miracle que la sagesse conventionnelle décrit. Au lieu de cela, une approche plus holistique est nécessaire pour garantir que nos sites Web WordPress sont protégés sur tous les fronts.

Comme nous le montre la faille de Cisco, plusieurs couches sont essentielles pour assurer le renforcement de la sécurité de WordPress ; cependant, l'élément humain demeure essentiel. À bien des égards, les utilisateurs sont des parties prenantes du succès de tout site Web WordPress, et bien que la mise en œuvre de politiques telles que le moindre privilège soit impérative, la formation des utilisateurs l'est tout autant.