Un'analisi dell'hacking di Cisco 2022

Il 24 maggio 2022, Cisco è stata informata dai suoi team di sicurezza che si era verificata una violazione. L'attaccante era riuscito ad ottenere l'accesso, aumentare i propri privilegi, installare l'accesso remoto e il software di hacking e adottare misure per mantenere l'accesso ai sistemi. Sono riusciti a fare tutto questo un passo alla volta. Come vedremo, questo avrebbe dovuto essere facilmente prevenibile.

Anche se siamo tutti più intelligenti quando guardiamo le cose in modo retrospettivo, la verità è che quello che è successo a Cisco può accadere a chiunque gestisca un ambiente WordPress.

Questo articolo esaminerà i passi degli hacker verso una violazione riuscita e come ogni proprietario e gestore di siti Web WordPress può impedire che si ripetano sui propri siti Web WordPress.

Chi ha violato Cisco?

Non si sa molto della persona o delle persone dietro la violazione di Cisco. Le indagini hanno mostrato che un IAB (Initial Access Broker) ha effettuato l'attacco. Come suggerisce il nome, gli IAB irrompono nei sistemi ma non effettuano attacchi. Una volta che una violazione ha esito positivo, installano il software per mantenere tale accesso. L'accesso viene quindi venduto o concesso a qualcun altro che utilizzerà l'accesso per eseguire l'attacco vero e proprio. Le prove indicano legami con tre attori maliziosi: UNC2447, Lapsus$ e Yanluowang.

Come hanno violato Cisco

Passaggio 1: password del browser

L'attaccante ha prima ottenuto l'accesso all'account Google personale di un dipendente. Accedendo a un browser Chrome utilizzando le credenziali rubate, l'attaccante potrebbe accedere alle password del dipendente poiché erano state salvate nel browser e configurate per la sincronizzazione.

Analisi

I browser hanno fatto molta strada dai vecchi tempi di Netscape e Internet Explorer (entrambi i browser sono stati da allora relegati agli annali della storia dei computer). Sono molto più robusti, offrono un set di funzionalità molto più ricco e sono più sicuri di prima.

Le password del browser sono uno di questi miglioramenti: consentono agli utenti di salvare i propri nomi utente e password direttamente nel browser. Sebbene ciò sia molto conveniente, i browser non applicano il tipo di best practice di sicurezza che fanno i gestori di password, rendendoli vulnerabili all'hacking.

I gestori di password richiedono agli utenti di utilizzare una password principale che deve essere adeguatamente complessa e crittografare tutte le password salvate, rendendole difficili da rubare. Alcuni gestori di password ti permetteranno persino di utilizzare dati biometrici come le impronte digitali o il viso, aumentando la sicurezza e la comodità.

Sebbene i browser abbiano iniziato a recuperare il ritardo in termini di sicurezza delle password, non hanno ancora raggiunto il livello di gestori di password, il che li rende un'opzione inadatta.

Un altro potenziale rischio per la sicurezza qui è l'uso di password semplici. La ricerca condotta da NordPass nel 2021 mostra che, nonostante le sostanziali campagne di sensibilizzazione, le password ridicolmente non sicure sono ancora prevalenti. In effetti, i ricercatori hanno scoperto che la password "123456" è stata utilizzata oltre 103 milioni di volte, seguita dall'altrettanto dubbia "123456789", che ha registrato oltre 46 milioni di istanze. Nel caso te lo stia chiedendo, classici come "password", "qwerty" e "iloveyou" sono ancora tutti presenti nell'elenco.

Queste password richiedono meno di un secondo per essere decifrate, il che le rende incredibilmente pericolose. Ad aggravare il problema c'è il fatto che il software di cracking delle password è diventato più avanzato e può persino tenere conto di sostituzioni di caratteri speciali come passare a con @ o e con 3.

Prevenzione

Pochissime persone si divertono a digitare password lunghe e complesse, portando le persone a prendere scorciatoie. La ricerca supporta questa affermazione, motivo per cui è così importante aiutare gli utenti a utilizzare password migliori.

Incoraggiare una migliore igiene delle password.

Una password complessa è uno dei passaggi più importanti che puoi intraprendere per ridurre i rischi. Una forte politica delle password di WordPress può aiutarti a garantire che gli utenti non utilizzino password come "123456", che come ci mostra la ricerca, sono ancora molto comuni.

Usando WPassword, un plug-in per la sicurezza delle password di WordPress, puoi assicurarti che le buone pratiche per le password siano seguite a T. Puoi impostare la tua politica, aiutandoti a ottenere un profilo di politica con cui sei a tuo agio e soddisfatto.

Scoraggiare gli utenti dal salvare le password nei loro browser è un altro passo importante che può aiutare te (e i tuoi utenti) a mitigare i rischi. Dopotutto, non è solo la password di WordPress a rischiare di essere rubata: i social media, le banche e tutte le altre password sono ugualmente a rischio.

I gestori di password sono diventati mainstream, con molte soluzioni tra cui scegliere. Non solo i gestori di password eliminano i rischi associati al salvataggio delle password nei browser, ma possono anche aiutarti a trovare password più forti e alcuni ti avviseranno persino se si è verificata una perdita di password.

Passaggio 2: ingegneria sociale

Una volta che l'attaccante è riuscito ad accedere all'account del dipendente, ha iniziato a registrare i dispositivi 2FA per aggirare i meccanismi di sicurezza offerti da 2FA. Con la 2FA piuttosto robusta, l'attaccante ha lanciato un attacco su due fronti che ha utilizzato tattiche di ingegneria sociale per aggirare la 2FA.

• Prong One: 2FA affaticamento – In un attacco 2FA affaticamento, l'attaccante tenta di registrare più dispositivi 2FA, costringendo efficacemente la vittima a gestire più richieste 2FA. Questo tipo di attacco è per lo più prevalente nelle notifiche push poiché tutto ciò che la vittima deve fare è accettare, che sia per ignoranza, stanchezza o altro.
• Prong Two: Vishing – Il vishing è un tipo di attacco di ingegneria sociale in cui l'attaccante chiama la vittima (phishing vocale), affermando di essere qualcuno in una posizione di autorità. Questa falsa autorità viene abusata mettendo la vittima in una posizione in cui sente di non avere altra scelta che soddisfare le richieste del chiamante. Queste richieste possono includere la divulgazione di informazioni o l'esecuzione di determinate azioni, come fare clic su collegamenti specifici.

Analisi

L'ingegneria sociale rimane uno degli strumenti più utilizzati dagli aggressori per aggirare le misure di sicurezza. In alcuni casi, gli aggressori potrebbero trovare più facile truffare le persone che gestire il sistema di sicurezza. In questo caso, l'attaccante ha dovuto ricorrere al social engineering per aggirare la 2FA.

L'ingegneria sociale si presenta in molte forme e richiede una politica di sicurezza completa per garantire che gli attacchi non abbiano successo. Poiché l'ingegneria sociale prende di mira le persone, le continue campagne di sensibilizzazione possono fare molto per ridurre al minimo e mitigare i rischi.

L'ingegneria sociale si basa su una serie di principi, tra cui intimidazione, urgenza, familiarità, prova sociale, autorità e scarsità. Questi principi vengono usati maliziosamente per convincere le persone a conformarsi a richieste a cui altrimenti non avrebbero acconsentito.

Prevenzione

Aggiungi l'autenticazione a due fattori

Le password complesse sono solo una prima linea di difesa. 2FA è un altro aspetto importante della buona pubblicità online

sicurezza in grado di fermare la stragrande maggioranza degli attacchi online. 2FA, richiede qualsiasi potenziale attaccante

accedere anche al telefono di un utente registrato, cosa piuttosto difficile.

Gli aggressori di Cisco non sono mai riusciti a bypassare le difese di 2FA, ma si sono affidati a tattiche di inganno per ingannare t

ha vittima nell'accedere alle loro richieste, il che alla fine ha permesso loro di aggirare la 2FA.

Anche così, 2FA rimane una soluzione formidabile per la sicurezza degli account online, aiutando a fermare gli attacchi nelle loro tracce o, a

t come minimo, rallentandoli. Fortunatamente, aggiungere 2FA al tuo sito Web WordPress è facile.

Investi nei tuoi utenti

La formazione degli utenti è uno strumento potente che viene troppo spesso ignorato, fino a quando non si verifica un incidente. Come dice il vecchio adagio, prevenire è meglio che curare. Essere proattivi è molto più vantaggioso che riparare il danno.

Disporre di una politica che, tra le altre cose, chieda agli utenti di segnalare richieste 2FA che non si aspettavano e chiarire che, anche se accettano tale richiesta per errore, dovrebbe essere segnalata. Gli utenti hanno spesso paura delle ripercussioni derivanti da tali errori, che portano alla mancata segnalazione di tali incidenti. Comprendi che questo può accadere a chiunque: clemenza e comprensione aiutano sia te che i tuoi utenti.

Prenditi il ​​tempo necessario per esaminare la politica ogni tanto e, se possibile, iscrivi gli utenti a brevi corsi di sicurezza informatica progettati per il personale.

Passaggio 3: escalation dei privilegi

Una volta che l'attaccante ha ottenuto l'accesso iniziale, è passato a privilegi di amministratore, che gli hanno consentito di accedere a più sistemi. Questo è ciò che alla fine li ha traditi quando ha allertato il team di risposta alla sicurezza, che è stato in grado di indagare e rimuoverli dall'ambiente.

Analisi

Nell'escalation dei privilegi, l'autore dell'attacco tenta di ottenere l'accesso agli account con un insieme di privilegi superiore a quello inizialmente compromesso. Poiché gli account di autorità inferiore in genere non sono così fortemente protetti come gli account di autorità superiore, è più facile violarli. Una volta ottenuto l'accesso iniziale, l'attaccante potrebbe voler aumentare i privilegi per accedere a dati più sensibili o fare più danni.

Prevenzione

Sebbene WordPress sia, in generale, un'applicazione sicura, non è immune agli attacchi. Ridurre la superficie di attacco è fondamentale per ridurre al minimo il rischio. Questo processo di riduzione della superficie di attacco è chiamato indurimento e può essere eseguito a diversi livelli, tra cui;

Rafforzamento di WordPress
Indurimento PHP
Rafforzamento del server Web
Rafforzamento del sistema operativo (sistema operativo).
Tempra MySQL

Quali sottosistemi puoi rafforzare dipenderà da come è ospitato il tuo WordPress. Se hai un piano di hosting WordPress, il tuo provider di hosting svolge la maggior parte delle attività. D'altra parte, se gestisci il tuo server, dovrai rafforzare tu stesso ogni sottosistema.

Passaggio 4: installazione dello strumento

Una volta che gli aggressori hanno ottenuto privilegi sufficienti (prima che il team di risposta agli incidenti interrompesse l'accesso), hanno installato vari strumenti di persistenza per assicurarsi di poter mantenere l'accesso. Questi strumenti avrebbero fornito un accesso futuro, sia che gli aggressori avessero pianificato di rivisitare o di vendere l'accesso a terzi.

Analisi

Gli strumenti e i metodi di persistenza, noti anche come backdoor, sono doppiamente pericolosi poiché consentono l'accesso per attacchi futuri. Se non vengono rilevati, continueranno a fornire all'attaccante un accesso continuo all'ambiente. Poiché la maggior parte di questi strumenti è progettata per evitare il rilevamento, trovarli può richiedere un po' di lavoro extra.

Fornitori come Google possono anche bloccare il tuo dominio o IP, influendo negativamente sul posizionamento nei motori di ricerca. Questo può essere ancora più difficile da recuperare, soprattutto se sono stati arrecati danni considerevoli prima di notare la violazione.

Le backdoor di WordPress utilizzano anche diverse funzioni PHP, che possono renderle più facili da rilevare. Questo non significa che TUTTE le backdoor utilizzino determinate funzioni PHP, ma è qualcosa da tenere a mente.

Prevenzione

Trovare tutto il malware e il software che un utente malintenzionato si lascia alle spalle può essere molto difficile. La maggior parte degli amministratori di WordPress tende a ricorrere a un backup precedente prima della violazione iniziale. Diverse aziende offrono anche servizi di pulizia professionale di WordPress. Alcuni plugin possono anche aiutarti a trovare malware per WordPress.

Uno strumento prezioso che dovresti utilizzare è WordPress File Changes Monitor, un monitor di integrità dei file per WordPress. Questo plugin gratuito essenzialmente prende un hash del tuo file system ogni volta che viene eseguito e quindi lo confronta con l'hash precedente. L'hash cambierà completamente se c'è la minima modifica in uno qualsiasi dei file. Ciò ti consentirà di avviare le tue indagini per determinare se si è verificata una violazione.

Un altro strumento essenziale che può aiutarti a tenere traccia di ciò che sta accadendo sotto il cofano è WP Activity Log. Usando questo plug-in, manterrai un registro delle attività di WordPress che ti offre informazioni approfondite sulle attività degli utenti e del sistema del tuo sito Web WordPress, consentendoti di scoprire presto comportamenti sospetti. Con funzionalità come integrazioni di plug-in di terze parti e avvisi e-mail o SMS, sarai in grado di rimanere sempre informato.

Un piano di sicurezza completo è l'unico piano di sicurezza

L'attacco a Cisco mostra che gli hacker stanno diventando più innovativi e sofisticati nell'esecuzione degli attacchi, utilizzando più vettori per aumentare le possibilità di una violazione riuscita. Sebbene misure come l'installazione di un firewall rimangano importanti, non sono il proiettile d'argento che la saggezza convenzionale le ritrae essere. Al contrario, è necessario un approccio più olistico per garantire che i nostri siti Web WordPress siano protetti su tutti i fronti.

Come ci mostra la violazione di Cisco, più livelli sono fondamentali per garantire il rafforzamento della sicurezza di WordPress; tuttavia, l'elemento umano rimane essenziale. In molti modi, gli utenti sono parti interessate al successo di qualsiasi sito Web WordPress e, sebbene l'implementazione di politiche come il privilegio minimo sia fondamentale, lo è anche la formazione degli utenti.