Un análisis del hackeo de Cisco 2022

Publicado: 2022-09-21

El 24 de mayo de 2022, sus equipos de seguridad informaron a Cisco que se había producido una infracción. El atacante logró obtener acceso, escalar sus privilegios, instalar software de acceso remoto y piratería, y tomar medidas para mantener el acceso a los sistemas. Se las arreglaron para hacer todo esto un paso a la vez. Como veremos, esto debería haber sido fácilmente prevenible.

Si bien todos somos más inteligentes cuando miramos las cosas retrospectivamente, la verdad es que lo que le sucedió a Cisco puede ocurrirle a cualquiera que administre un entorno de WordPress.

Este artículo analizará los pasos de los piratas informáticos hacia una violación exitosa y cómo cada propietario y administrador de un sitio web de WordPress puede evitar que se repita en sus sitios web de WordPress.

¿Quién violó a Cisco?

No se sabe mucho sobre la persona o personas detrás de la violación de Cisco. Las investigaciones han demostrado que un IAB (Initial Access Broker) llevó a cabo el ataque. Como su nombre lo indica, los IAB irrumpen en los sistemas pero no realizan ataques. Una vez que una brecha tiene éxito, instalan software para mantener ese acceso. Luego, el acceso se vende o se otorga a otra persona que utilizará el acceso para llevar a cabo el ataque real. La evidencia apunta a vínculos con tres actores maliciosos: UNC2447, Lapsus$ y Yanluowang.

Cómo violaron a Cisco

Paso 1: Contraseñas del navegador

El atacante primero obtuvo acceso a la cuenta personal de Google de un empleado. Al iniciar sesión en un navegador Chrome con las credenciales robadas, el atacante podría obtener acceso a las contraseñas de los empleados, ya que se habían guardado en el navegador y configurado para sincronizarse.

Análisis

Los navegadores han recorrido un largo camino desde los viejos tiempos de Netscape e Internet Explorer (desde entonces, ambos navegadores han sido relegados a los anales de la historia de la informática). Son mucho más robustos, ofrecen un conjunto de funciones mucho más rico y son más seguros de lo que solían ser.

Las contraseñas del navegador son una de esas mejoras, ya que permiten a los usuarios guardar sus nombres de usuario y contraseñas directamente en el navegador. Si bien esto es muy conveniente, los navegadores no imponen el tipo de mejores prácticas de seguridad que hacen los administradores de contraseñas, lo que los hace vulnerables a la piratería.

Los administradores de contraseñas requieren que los usuarios usen una contraseña maestra que debe ser adecuadamente compleja y cifrar las contraseñas guardadas, lo que dificulta su robo. Algunos administradores de contraseñas incluso le permitirán usar datos biométricos, como sus huellas dactilares o su rostro, lo que aumenta la seguridad y la comodidad.

Si bien los navegadores han comenzado a ponerse al día en términos de seguridad de contraseñas, aún no han alcanzado el nivel de los administradores de contraseñas, lo que los convierte en una opción inadecuada.

Otro riesgo potencial de seguridad aquí es el uso de contraseñas simples. La investigación realizada por NordPass en 2021 muestra que, a pesar de las importantes campañas de concientización, aún prevalecen contraseñas ridículamente inseguras. De hecho, los investigadores encontraron que la contraseña '123456' estaba en uso más de 103 millones de veces, seguida de la igualmente dudosa '123456789', que registró más de 46 millones de instancias. En caso de que te lo estés preguntando, clásicos como 'contraseña', 'qwerty' y 'iloveyou' todavía están presentes en la lista.

Estas contraseñas tardan menos de un segundo en descifrarse, lo que las hace increíblemente inseguras. El problema se ve agravado por el hecho de que el software de descifrado de contraseñas se ha vuelto más avanzado e incluso puede tener en cuenta los reemplazos de caracteres especiales, como cambiar a con @ o e con 3.

Prevención

Muy pocas personas disfrutan escribiendo contraseñas largas y complejas, lo que lleva a las personas a tomar atajos. La investigación respalda esta afirmación, por lo que es tan importante ayudar a los usuarios a usar mejores contraseñas.

Fomente una mejor higiene de las contraseñas.

Una contraseña segura es uno de los pasos más importantes que puede tomar para mitigar los riesgos. Una política sólida de contraseñas de WordPress puede ayudarlo a asegurarse de que los usuarios no usen contraseñas como '123456', que, como nos muestra la investigación, todavía son muy comunes.

Con WPassword, un complemento de seguridad de contraseñas de WordPress, puede asegurarse de que se sigan las buenas prácticas de contraseñas al pie de la letra. Puede establecer su propia política, lo que lo ayudará a lograr un perfil de política con el que se sienta cómodo y satisfecho.

Disuadir a los usuarios de guardar contraseñas en sus navegadores es otro paso importante que puede ayudarlo a usted (y a sus usuarios) a mitigar los riesgos. Después de todo, no es solo su contraseña de WordPress la que corre el riesgo de ser robada: las redes sociales, la banca y todas las demás contraseñas corren el mismo riesgo.

Los administradores de contraseñas se han convertido en la corriente principal, con muchas soluciones para elegir. Los administradores de contraseñas no solo eliminan los riesgos asociados con el almacenamiento de contraseñas en los navegadores, sino que también pueden ayudarlo a crear contraseñas más seguras, y algunos incluso lo alertarán si ha habido una fuga de contraseña.

Paso 2: ingeniería social

Una vez que el atacante logró acceder a la cuenta del empleado, se dispuso a registrar dispositivos 2FA para eludir los mecanismos de seguridad ofrecidos por 2FA. Dado que 2FA es bastante robusto, el atacante lanzó un ataque de dos frentes que hizo uso de tácticas de ingeniería social para eludir 2FA.

  • Punta uno: Fatiga 2FA : en un ataque de fatiga 2FA, el atacante intenta registrar múltiples dispositivos 2FA, lo que obliga a la víctima a lidiar con múltiples solicitudes 2FA. Este tipo de ataque prevalece principalmente en las notificaciones automáticas, ya que todo lo que la víctima tiene que hacer es aceptar, ya sea por ignorancia, fatiga o de otra manera.
  • Segunda vertiente: Vishing : el vishing es un tipo de ataque de ingeniería social en el que el atacante llama a la víctima (phishing de voz), afirmando ser alguien en una posición de autoridad. Se abusa de esta autoridad fingida al poner a la víctima en una posición en la que siente que no tiene más opción que cumplir con las demandas de la persona que llama. Estas demandas pueden incluir divulgar información o realizar ciertas acciones, como hacer clic en enlaces específicos.

Análisis

La ingeniería social sigue siendo una de las herramientas más utilizadas por los atacantes para eludir las medidas de seguridad. En algunos casos, a los atacantes les puede resultar más fácil estafar a las personas que lidiar con el sistema de seguridad. En este caso, el atacante tuvo que recurrir a la ingeniería social para eludir 2FA.

La ingeniería social se presenta de muchas formas, lo que requiere una política de seguridad integral para garantizar que los ataques no tengan éxito. A medida que la ingeniería social se dirige a las personas, las campañas continuas de concientización pueden contribuir en gran medida a minimizar y mitigar los riesgos.

La ingeniería social se basa en una serie de principios, que incluyen la intimidación, la urgencia, la familiaridad, la prueba social, la autoridad y la escasez. Estos principios se utilizan maliciosamente para lograr que las personas cumplan con solicitudes a las que de otro modo no habrían accedido.

Prevención

Agregar autenticación de dos factores

Las contraseñas seguras son solo una primera línea de defensa. 2FA es otro aspecto importante de los buenos servicios en línea.

seguridad que es capaz de detener la gran mayoría de los ataques en línea. 2FA, requiere cualquier atacante potencial

también obtener acceso al teléfono de un usuario registrado, algo que es bastante difícil.

Los atacantes de Cisco nunca lograron eludir las defensas de 2FA; en cambio, confiaron en tácticas de engaño para engañar a t

La víctima accedió a sus solicitudes, lo que finalmente les permitió eludir 2FA.

Aun así, 2FA sigue siendo una solución formidable para la seguridad de las cuentas en línea, ayudando a detener los ataques en su camino o, un

por lo menos, ralentizándolos. Afortunadamente, agregar 2FA a su sitio web de WordPress es fácil.

Invierte en tus usuarios

La educación del usuario es una herramienta poderosa que con demasiada frecuencia se ignora, hasta que ocurre un incidente. Como dice el viejo adagio, más vale prevenir que curar. Ser proactivo es mucho más beneficioso que reparar el daño.

Tenga una política que, entre otras cosas, pida a los usuarios que informen las solicitudes de 2FA que no esperaban y deje en claro que incluso si aceptan dicha solicitud por error, debe informarse. Los usuarios a menudo temen las repercusiones derivadas de tales errores, lo que lleva a que tales incidentes no se informen. Comprenda que esto le puede pasar a cualquiera: la indulgencia y la comprensión lo ayudan tanto a usted como a sus usuarios.

Tómese el tiempo para revisar la política de vez en cuando y, si es posible, inscriba a los usuarios en cursos cortos de ciberseguridad diseñados para el personal.

Paso 3: escalada de privilegios

Una vez que el atacante obtuvo el acceso inicial, escalaron a privilegios de nivel de administrador, lo que les permitió acceder a múltiples sistemas. Esto es lo que finalmente los delató, ya que alertó al equipo de respuesta de seguridad, que pudo investigarlos y eliminarlos del entorno.

Análisis

En la escalada de privilegios, el atacante intenta obtener acceso a cuentas con un conjunto de privilegios más alto que el comprometido inicialmente. Dado que las cuentas de menor autoridad no suelen estar tan protegidas como las cuentas de mayor autoridad, es más fácil acceder a ellas. Una vez que se obtiene el acceso inicial, es posible que el atacante desee escalar los privilegios para acceder a datos más confidenciales o causar más daños.

Prevención

Si bien WordPress es, en general, una aplicación segura, no es inmune a los ataques. Reducir el área de superficie de ataque es imperativo para minimizar el riesgo. Este proceso de reducción del área de superficie de ataque se denomina endurecimiento y se puede realizar en varios niveles, entre ellos;

endurecimiento de WordPress
Endurecimiento de PHP
Refuerzo del servidor web
Refuerzo del SO (Sistema Operativo)
Endurecimiento de MySQL

Los subsistemas que puede fortalecer dependerán de cómo esté alojado su WordPress. Si tiene un plan de alojamiento de WordPress, su proveedor de alojamiento realiza la mayoría de las tareas. Por otro lado, si administra su propio servidor, deberá fortalecer cada subsistema usted mismo.

Paso 4: Instalación de la herramienta

Una vez que los atacantes obtuvieron suficientes privilegios (antes de que el equipo de respuesta a incidentes cancelara el acceso), instalaron varias herramientas de persistencia para garantizar que pudieran mantener el acceso. Estas herramientas habrían proporcionado acceso futuro, ya sea que los atacantes planearan volver a visitar o vender el acceso a un tercero.

Análisis

Las herramientas y métodos de persistencia, también conocidos como puertas traseras, son doblemente peligrosos ya que permiten el acceso para futuros ataques. Si no se detectan, seguirán proporcionando al atacante un acceso continuo al entorno. Como la mayoría de estas herramientas están diseñadas para evitar la detección, encontrarlas puede requerir un poco de trabajo adicional.

Los proveedores como Google también pueden bloquear su dominio o IP, lo que afecta negativamente su clasificación en los motores de búsqueda. Esto puede ser aún más difícil de recuperar, especialmente si se hizo un daño considerable antes de notar la brecha.

Las puertas traseras de WordPress también hacen uso de varias funciones de PHP, lo que puede hacer que sean más fáciles de detectar. Esto no significa que TODAS las puertas traseras usen ciertas funciones de PHP, pero es algo a tener en cuenta.

Prevención

Encontrar todo el malware y el software que deja un atacante puede ser muy difícil. La mayoría de los administradores de WordPress tienden a recurrir a una copia de seguridad anterior a la infracción inicial. Varias empresas también ofrecen servicios profesionales de limpieza de WordPress. Ciertos complementos también pueden ayudarlo a encontrar malware de WordPress.

Una herramienta invaluable que debería usar es el Monitor de cambios de archivos de WordPress, un monitor de integridad de archivos para WordPress. Este complemento gratuito esencialmente toma un hash de su sistema de archivos cada vez que se ejecuta y luego lo compara con el hash anterior. El hash cambiará por completo si hay el más mínimo cambio en cualquiera de los archivos. Esto le permitirá iniciar sus investigaciones para determinar si se ha producido una infracción.

Otra herramienta esencial que puede ayudarlo a realizar un seguimiento de lo que sucede debajo del capó es el registro de actividad de WP. Con este complemento, mantendrá un registro de actividad de WordPress que le brinda información detallada sobre las actividades del usuario y del sistema de su sitio web de WordPress, lo que le permite detectar comportamientos sospechosos desde el principio. Con funciones como integraciones de complementos de terceros y alertas por correo electrónico o SMS, podrá mantenerse informado en todo momento.

Un plan de seguridad integral es el único plan de seguridad

El ataque a Cisco muestra que los piratas informáticos se están volviendo más innovadores y sofisticados al realizar ataques, utilizando múltiples vectores para aumentar sus posibilidades de una violación exitosa. Si bien medidas como la instalación de un firewall siguen siendo importantes, no son la solución milagrosa que la sabiduría convencional describe como tales. En cambio, se requiere un enfoque más holístico para garantizar que nuestros sitios web de WordPress estén protegidos en todos los frentes.

Como nos muestra la brecha de Cisco, múltiples capas son fundamentales para garantizar el fortalecimiento de la seguridad de WordPress; sin embargo, el elemento humano sigue siendo esencial. En muchos sentidos, los usuarios son partes interesadas en el éxito de cualquier sitio web de WordPress, y aunque es imperativo implementar políticas como el privilegio mínimo, también lo es la educación del usuario.