סיסקו מתמודדת עם שני אירועי סייבר

סיסקו (Cisco) מוצאת את עצמה בימים האחרונים נאבקת בשתי חזיתות בסייבר, במקביל ובלא קשר: האחת, קשורה לשירות האימות הרב-גורמי שלה Duo, והשנייה – לשירותי ה-VPN שלה לגישה מרחוק.

ענקית ה-IT והרישות התריעה בפני לקוחותיה כי אחד משותפיה בעולם הטלפוניה בסביבת Duo שלה, נפל קורבן למתקפת פישינג ב-1 באפריל. במהלך המתקפה הזו, ההאקרים גנבו אישורי עובד, אותם הם ניצלו כדי להשיג גישה ליומני רישום לוגים הקשורים לחשבונות Duo. "ליתר דיוק", נמסר, "שחקן האיומים הוריד יומני לוגים עבור הודעות SMS שנשלחו למשתמשים מסוימים, תחת חשבון ה-Duo שלך. זה קרה בין ה-1 ל-31 במרץ 2024".

Cisco Duo warns third-party data breach exposed SMS MFA logs – @billtoulashttps://t.co/xI6hACLCkchttps://t.co/xI6hACLCkc

— BleepingComputer (@BleepinComputer) April 15, 2024

פישינג סייע להפרה ב-Duo

סיסקו הודיעה: "אנו מודעים לתקרית בה היה מעורב ספק טלפוניה, יחיד, אשר שלח הודעות אימות רב-גורמי (MFA), למערכת של Duo, באמצעות SMS ו-VoIP, לנמענים הנמצאים בצפון אמריקה. סיסקו עובדת באופן פעיל עם הספק כדי לחקור ולטפל באירוע. בהתבסס על מידע שהתקבל מהספק עד כה, אנו מעריכים כי כ-1% מהלקוחות של Duo הושפעו מהאירוע. החקירה שלנו נמשכת, ואנו ממשיכים לעדכן לקוחות שהושפעו מהאירוע".

לפי ענקית ה-IT, למערכת של Duo יש יותר מ-100 אלף לקוחות ברחבי העולם, משמע, כאלף לקוחות ארגוניים שלה נפגעו באופן פוטנציאלי מאירוע הסייבר. עם גילוי האירוע, ספק הטלפוניה, שזהותו לא פורסמה, ביטל באופן מיידי את אישורי העובד והודיע ​​לסיסקו על האירוע. הספק שנפגע צפוי לכפות על כל העובדים שלו לעבור הכשרה למודעות בנושאי הגנת סייבר ובתוכה, הנדסה חברתית.

היומנים הגנובים לא הכילו את תכני ההודעות, אך לפי המדווח, כללו מספרי טלפון, זיהוי של המדינות מהן ואליהן נשלחה כל הודעה, בתוספת כמה מטה-דטה (נתוני-על) הנוגעים למועד ולסוג ההודעה, ומידע על זהות הספק שטיפל במשלוח ההודעה.

לטענת סיסקו, "ספק הטלפוניה אישר כי ההאקרים לא הורידו, או ניגשו בדרך אחרת, לתוכן של הודעות כלשהן, או השתמשו בגישה שלהם למערכות הפנימיות של הספק – כדי לשלוח הודעות כלשהן לכל אחד מהמספרים הכלולים ביומני הלוגים".

Cisco warns of large-scale brute-force attacks against VPN and SSH services https://t.co/MFAaHhcPrk #BreakingNews #Hacking #Security #bruteforceattack #hackingnews

— The Cyber Security Hub™ (@TheCyberSecHub) April 17, 2024

מתקפות המכוונות ל-VPN מרוחקים

ובזירה השניה והאחרת: סיסקו הודיעה כי חלה "עלייה גלובלית" בהיקף המתקפות מסוג Brute-force ('מתקפות כוח גס'), המכוונות לשירותי ה-VPN שלה ושל ספקיות אחרות, אל ממשקי אימות אפליקציות ולשירותי SSH.

מתקפות מסוג Brute-force, נסמכות על ניסיונות חוזרים ורבים, שמטרתם לפצח קוד, מפתח, או סיסמה – וכך להשיג גישה לא מורשית לחשבונות, למערכות או לרשתות.

לפי הודעה נוספת של החברה, "צוות ציד ומודיעין האיומים שלנו, טאלוס (Talos) עוקב באופן פעיל אחר הגידול העולמי במתקפות כוח גס, המכוונות לשירותי ה-VPN שלנו ושל ספקים אחרים". לפי התרעה שהחברה פרסמה בשבוע שעבר, "המתקפות מסוג זה נמשכות לפחות מאז ה-18 במרץ".

על הספקים והשירותים המושפעים ממתקפה זו, נמנים: Cisco Secure Firewall VPN, כמו גם ה-VPN של צ'ק פוינט (Check Point), פורטינט (Fortinet) סוניק וול (SonicWall) ויצרנים נוספים. היא ציינה כי "שירותים נוספים עלולים להיות מושפעים מהתקפות אלו".

בהודעת ייעוץ אבטחה נפרדת, סיסקו ציינה כי "נראה שניסיונות החדירה קשורים למאמצי גישוש ואיתור", אולם היא לא ציינה את זהות האחראי לניסיונות הפריצה – וגם לא האם הוא הצליח. לפי סיסקו, "התקפות אלו אינן מוגבלות למוצרי סיסקו, אלא גם לשירותי VPN של צד שלישי. כדי לעזור לשמור על בטיחות הלקוחות שלנו, פרסמנו הנחיות מומלצות לפעולה לצמצום הסיכונים".

ספקיות ה-VPN האחרות לא הגיבו לדיווח.