Eine Analyse des Cisco 2022-Hacks

Veröffentlicht: 2022-09-21

Am 24. Mai 2022 wurde Cisco von seinen Sicherheitsteams darauf aufmerksam gemacht, dass es eine Sicherheitsverletzung gegeben hatte. Dem Angreifer war es gelungen, sich Zugang zu verschaffen, seine Berechtigungen zu eskalieren, Fernzugriffs- und Hacking-Software zu installieren und Schritte zu unternehmen, um den Zugang zu den Systemen aufrechtzuerhalten. All dies gelang ihnen Schritt für Schritt. Wie wir sehen werden, sollte dies leicht vermeidbar gewesen sein.

Während wir alle schlauer sind, wenn wir die Dinge rückblickend betrachten, ist die Wahrheit, dass das, was mit Cisco passiert ist, jedem passieren kann, der eine WordPress-Umgebung verwaltet.

Dieser Artikel befasst sich mit den Schritten der Hacker zu einem erfolgreichen Angriff und wie jeder WordPress-Website-Eigentümer und -Manager eine Wiederholung auf seinen WordPress-Websites verhindern kann.

Wer hat Cisco verletzt?

Über die Person oder Personen hinter der Cisco-Verletzung ist nicht viel bekannt. Untersuchungen haben ergeben, dass ein IAB (Initial Access Broker) den Angriff durchgeführt hat. Wie der Name schon sagt, brechen IABs in Systeme ein, führen aber keine Angriffe durch. Sobald ein Verstoß erfolgreich ist, installieren sie Software, um diesen Zugriff aufrechtzuerhalten. Der Zugriff wird dann verkauft oder an jemand anderen weitergegeben, der den Zugriff verwendet, um den eigentlichen Angriff durchzuführen. Beweise deuten auf Verbindungen zu drei böswilligen Akteuren hin – UNC2447, Lapsus$ und Yanluowang.

Wie sie Cisco verletzt haben

Schritt 1: Browser-Passwörter

Der Angreifer verschaffte sich zunächst Zugriff auf das private Google-Konto eines Mitarbeiters. Durch die Anmeldung bei einem Chrome-Browser mit den gestohlenen Anmeldeinformationen konnte der Angreifer Zugriff auf die Passwörter des Mitarbeiters erhalten, da diese im Browser gespeichert und für die Synchronisierung konfiguriert wurden.

Analyse

Browser haben seit den alten Tagen von Netscape und Internet Explorer einen langen Weg zurückgelegt (beide Browser sind inzwischen in die Annalen der Computergeschichte eingegangen). Sie sind weitaus robuster, bieten einen viel umfangreicheren Funktionsumfang und sind sicherer als früher.

Browserpasswörter sind eine solche Verbesserung, die es Benutzern ermöglicht, ihre Benutzernamen und Passwörter direkt im Browser zu speichern. Dies ist zwar sehr praktisch, aber Browser erzwingen nicht die Best Practices für die Sicherheit, die Passwort-Manager anwenden, wodurch sie anfällig für Hackerangriffe sind.

Passwort-Manager verlangen von den Benutzern die Verwendung eines Master-Passworts, das entsprechend komplex sein und alle gespeicherten Passwörter verschlüsseln muss – wodurch sie schwer zu stehlen sind. Einige Passwort-Manager erlauben Ihnen sogar, biometrische Daten wie Ihre Fingerabdrücke oder Ihr Gesicht zu verwenden, was die Sicherheit und den Komfort erhöht.

Während Browser in Sachen Passwortsicherheit aufholen, haben sie noch nicht das Niveau von Passwortmanagern erreicht, was sie zu einer ungeeigneten Option macht.

Ein weiteres potenzielles Sicherheitsrisiko ist hier die Verwendung einfacher Passwörter. Von NordPass im Jahr 2021 durchgeführte Untersuchungen zeigen, dass trotz der umfangreichen Sensibilisierungskampagnen lächerlich unsichere Passwörter immer noch weit verbreitet sind. Tatsächlich fanden die Forscher heraus, dass das Passwort „123456“ über 103 Millionen Mal verwendet wurde, gefolgt von dem ebenso zweifelhaften „123456789“, das über 46 Millionen Mal verwendet wurde. Falls Sie sich fragen, Klassiker wie „password“, „qwerty“ und „iloveyou“ sind alle noch in der Liste vorhanden.

Das Knacken dieser Passwörter dauert weniger als eine Sekunde, was sie unglaublich unsicher macht. Erschwerend kommt hinzu, dass Software zum Knacken von Passwörtern fortschrittlicher geworden ist und sogar das Ersetzen von Sonderzeichen berücksichtigen kann, z. B. das Ersetzen von a durch @ oder e durch 3.

Verhütung

Nur sehr wenige Menschen lieben es, lange und komplexe Passwörter einzugeben, was dazu führt, dass die Leute Abkürzungen nehmen. Die Forschung unterstützt diese Behauptung, weshalb es so wichtig ist, den Benutzern zu helfen, bessere Passwörter zu verwenden.

Fördern Sie eine bessere Passworthygiene.

Ein sicheres Passwort ist einer der wichtigsten Schritte, die Sie unternehmen können, um Risiken zu mindern. Eine starke WordPress-Passwortrichtlinie kann Ihnen dabei helfen, sicherzustellen, dass Benutzer keine Passwörter wie „123456“ verwenden, die, wie die Forschung zeigt, immer noch sehr verbreitet sind.

Mit WPassword, einem WordPress-Passwortsicherheits-Plugin, können Sie sicherstellen, dass gute Passwortpraktiken bis ins kleinste Detail befolgt werden. Sie können Ihre eigene Richtlinie festlegen und so ein Richtlinienprofil erstellen, mit dem Sie sich wohlfühlen und mit dem Sie zufrieden sind.

Benutzer davon abzuhalten, Passwörter in ihren Browsern zu speichern, ist ein weiterer wichtiger Schritt, der Ihnen (und Ihren Benutzern) helfen kann, Risiken zu mindern. Schließlich besteht nicht nur die Gefahr, dass ihr WordPress-Passwort gestohlen wird – Social Media-, Banking- und alle anderen Passwörter sind gleichermaßen gefährdet.

Passwort-Manager sind zum Mainstream geworden, und es stehen viele Lösungen zur Auswahl. Passwort-Manager eliminieren nicht nur die Risiken, die mit dem Speichern von Passwörtern in Browsern verbunden sind, sondern sie können Ihnen auch dabei helfen, stärkere Passwörter zu finden, und einige warnen Sie sogar, wenn ein Passwortleck aufgetreten ist.

Schritt 2: Social-Engineering

Nachdem es dem Angreifer gelungen war, auf das Konto des Mitarbeiters zuzugreifen, begann er mit der Registrierung von 2FA-Geräten, um die von 2FA angebotenen Sicherheitsmechanismen zu umgehen. Da 2FA ziemlich robust ist, startete der Angreifer einen zweigleisigen Angriff, der sich Social-Engineering-Taktiken zunutze machte, um 2FA zu umgehen.

  • Prong One: 2FA-Müdigkeit – Bei einem 2FA-Müdigkeitsangriff versucht der Angreifer, mehrere 2FA-Geräte zu registrieren, wodurch das Opfer effektiv gezwungen wird, sich mit mehreren 2FA-Anfragen zu befassen. Diese Art von Angriff ist vor allem bei Push-Benachrichtigungen weit verbreitet, da das Opfer nur akzeptieren muss – sei es aus Unwissenheit, Müdigkeit oder aus anderen Gründen.
  • Prong Two: Vishing – Vishing ist eine Art Social-Engineering-Angriff, bei dem der Angreifer das Opfer anruft (Voice-Phishing) und vorgibt, jemand in einer Autoritätsposition zu sein. Diese vorgetäuschte Autorität wird missbraucht, indem das Opfer in eine Position gebracht wird, in der es das Gefühl hat, keine andere Wahl zu haben, als den Forderungen des Anrufers nachzukommen. Diese Forderungen können die Preisgabe von Informationen oder das Ergreifen bestimmter Aktionen, wie das Anklicken bestimmter Links, beinhalten.

Analyse

Social Engineering bleibt eines der am häufigsten verwendeten Tools, mit denen Angreifer Sicherheitsmaßnahmen umgehen. In einigen Fällen ist es für Angreifer möglicherweise einfacher, Menschen zu betrügen, als sich mit dem Sicherheitssystem auseinanderzusetzen. In diesem Fall musste der Angreifer auf Social Engineering zurückgreifen, um 2FA zu umgehen.

Social Engineering gibt es in vielen Formen, die eine umfassende Sicherheitsrichtlinie erfordern, um sicherzustellen, dass Angriffe nicht erfolgreich sind. Da Social Engineering auf Menschen abzielt, können kontinuierliche Sensibilisierungskampagnen einen großen Beitrag zur Minimierung und Minderung von Risiken leisten.

Social Engineering stützt sich auf eine Reihe von Prinzipien, darunter Einschüchterung, Dringlichkeit, Vertrautheit, sozialer Beweis, Autorität und Knappheit. Diese Prinzipien werden böswillig eingesetzt, um Menschen dazu zu bringen, Forderungen nachzukommen, denen sie sonst nicht nachgekommen wären.

Verhütung

Fügen Sie die Zwei-Faktor-Authentifizierung hinzu

Starke Passwörter sind nur eine erste Verteidigungslinie. 2FA ist ein weiterer wichtiger Aspekt guter Online-s

Sicherheit, die in der Lage ist, die überwiegende Mehrheit der Online-Angriffe zu stoppen. 2FA, erfordert jeden potenziellen Angreifer

auch Zugriff auf das Telefon eines registrierten Benutzers zu erhalten – etwas, das ziemlich schwierig ist.

Den Angreifern von Cisco gelang es nie, die Verteidigung von 2FA zu umgehen – stattdessen verließen sie sich auf Täuschungstaktiken, um t auszutricksen

Das Opfer dazu, ihren Forderungen nachzukommen – was es ihnen letztendlich ermöglichte, 2FA zu umgehen.

Trotzdem bleibt 2FA eine beeindruckende Lösung für die Sicherheit von Online-Konten, die hilft, Angriffe sofort zu stoppen oder a

nicht zuletzt verlangsamen sie sie. Glücklicherweise ist das Hinzufügen von 2FA zu Ihrer WordPress-Website einfach.

Investieren Sie in Ihre Benutzer

Benutzerschulung ist ein mächtiges Werkzeug, das allzu oft ignoriert wird – bis es zu einem Vorfall kommt. Wie das alte Sprichwort sagt, ist Vorbeugen besser als Heilen. Proaktiv zu sein ist viel vorteilhafter als den Schaden zu reparieren.

Haben Sie eine Richtlinie, die Benutzer unter anderem auffordert, 2FA-Anfragen zu melden, die sie nicht erwartet haben, und klarzustellen, dass selbst wenn sie eine solche Anfrage versehentlich annehmen, sie gemeldet werden sollte. Benutzer haben oft Angst vor Konsequenzen, die aus solchen Fehlern resultieren, was dazu führt, dass solche Vorfälle nicht gemeldet werden. Verstehen Sie, dass dies jedem passieren kann – Nachsicht und Verständnis helfen sowohl Ihnen als auch Ihren Benutzern.

Nehmen Sie sich die Zeit, die Richtlinie von Zeit zu Zeit durchzugehen, und melden Sie, wenn möglich, Benutzer in kurzen Cybersicherheitskursen an, die für das Personal konzipiert sind.

Schritt 3: Rechteausweitung

Sobald der Angreifer den ersten Zugriff erlangt hatte, eskalierte er auf Administratorrechte, die ihm den Zugriff auf mehrere Systeme ermöglichten. Dies war es, was sie letztendlich verriet, als es das Sicherheitsreaktionsteam alarmierte – das in der Lage war, sie zu untersuchen und aus der Umgebung zu entfernen.

Analyse

Bei der Rechteausweitung versucht der Angreifer, Zugriff auf Konten mit höheren Rechten zu erlangen als dem, das ursprünglich kompromittiert wurde. Da Konten mit niedrigerer Autorität normalerweise nicht so stark geschützt sind wie Konten mit höherer Autorität, sind sie leichter zu knacken. Sobald der erste Zugriff erfolgt ist, möchte der Angreifer möglicherweise die Berechtigungen eskalieren, um auf sensiblere Daten zuzugreifen oder mehr Schaden anzurichten.

Verhütung

Obwohl WordPress im Großen und Ganzen eine sichere Anwendung ist, ist es nicht immun gegen Angriffe. Die Reduzierung der Angriffsfläche ist zwingend erforderlich, um das Risiko zu minimieren. Dieser Prozess der Reduzierung der Angriffsfläche wird als Härtung bezeichnet und kann auf mehreren Ebenen durchgeführt werden, darunter:

WordPress-Härtung
PHP-Härtung
Härtung von Webservern
Härtung des Betriebssystems (Betriebssystem).
MySQL-Härtung

Welche Subsysteme Sie härten können, hängt davon ab, wie Ihr WordPress gehostet wird. Wenn Sie einen WordPress-Hosting-Plan haben, führt Ihr Hosting-Provider die meisten Aufgaben aus. Wenn Sie hingegen Ihren eigenen Server verwalten, müssen Sie jedes Subsystem selbst härten.

Schritt 4: Werkzeuginstallation

Nachdem die Angreifer genügend Berechtigungen erlangt hatten (bevor das Incident-Response-Team den Zugriff beendete), installierten sie verschiedene Persistenz-Tools, um sicherzustellen, dass sie den Zugriff aufrechterhalten konnten. Diese Tools hätten einen zukünftigen Zugriff ermöglicht – unabhängig davon, ob die Angreifer einen erneuten Besuch planten oder den Zugriff an Dritte verkauften.

Analyse

Persistenz-Tools und -Methoden, auch Backdoors genannt, sind doppelt gefährlich, da sie den Zugriff für zukünftige Angriffe ermöglichen. Sollten sie unentdeckt bleiben, bieten sie dem Angreifer weiterhin kontinuierlichen Zugriff auf die Umgebung. Da die meisten dieser Tools so konzipiert sind, dass sie nicht entdeckt werden, kann das Auffinden etwas zusätzliche Arbeit erfordern.

Anbieter wie Google können auch Ihre Domain oder IP auf die Sperrliste setzen, was sich negativ auf Ihr Suchmaschinenranking auswirkt. Dies kann noch schwieriger zu beheben sein, insbesondere wenn beträchtlicher Schaden angerichtet wurde, bevor der Verstoß bemerkt wurde.

WordPress-Hintertüren verwenden auch mehrere PHP-Funktionen, wodurch sie leichter zu erkennen sind. Dies bedeutet nicht, dass ALLE Backdoors bestimmte PHP-Funktionen verwenden, sollte aber beachtet werden.

Verhütung

Es kann sehr schwierig sein, alle Malware und Software zu finden, die ein Angreifer zurücklässt. Die meisten WordPress-Administratoren neigen dazu, auf ein früheres Backup von vor dem ersten Verstoß zurückzugreifen. Mehrere Unternehmen bieten auch professionelle WordPress-Reinigungsdienste an. Bestimmte Plugins können Ihnen auch dabei helfen, WordPress-Malware zu finden.

Ein unschätzbares Tool, das Sie verwenden sollten, ist WordPress File Changes Monitor, ein Dateiintegritätsmonitor für WordPress. Dieses kostenlose Plugin nimmt im Wesentlichen bei jeder Ausführung einen Hash Ihres Dateisystems und vergleicht ihn dann mit dem vorherigen Hash. Der Hash ändert sich vollständig, wenn es die geringste Änderung an einer der Dateien gibt. Auf diese Weise können Sie mit Ihren Untersuchungen beginnen, um festzustellen, ob ein Verstoß aufgetreten ist.

Ein weiteres wichtiges Tool, mit dem Sie verfolgen können, was unter der Haube vor sich geht, ist das WP-Aktivitätsprotokoll. Mit diesem Plugin führen Sie ein WordPress-Aktivitätsprotokoll, das Ihnen tiefe Einblicke in die Benutzer- und Systemaktivitäten Ihrer WordPress-Website gibt, sodass Sie verdächtiges Verhalten frühzeitig erkennen können. Mit Funktionen wie Plugin-Integrationen von Drittanbietern und E-Mail- oder SMS-Benachrichtigungen bleiben Sie jederzeit auf dem Laufenden.

Ein umfassender Sicherheitsplan ist der einzige Sicherheitsplan

Der Angriff auf Cisco zeigt, dass Hacker bei der Durchführung von Angriffen immer innovativer und ausgefeilter werden – indem sie mehrere Vektoren verwenden, um ihre Chancen auf einen erfolgreichen Angriff zu erhöhen. Obwohl Maßnahmen wie die Installation einer Firewall wichtig bleiben, sind sie nicht die Wunderwaffe, als die sie nach allgemeiner Meinung dargestellt werden. Stattdessen ist ein ganzheitlicherer Ansatz erforderlich, um sicherzustellen, dass unsere WordPress-Websites an allen Fronten geschützt sind.

Wie uns die Cisco-Verletzung zeigt, sind mehrere Ebenen entscheidend, um die WordPress-Sicherheitshärtung zu gewährleisten; Das menschliche Element bleibt jedoch wesentlich. Benutzer sind in vielerlei Hinsicht am Erfolg jeder WordPress-Website beteiligt, und während die Implementierung von Richtlinien wie der geringsten Rechte unerlässlich ist, ist dies auch die Benutzerschulung.