Analisis peretasan Cisco 2022

Diterbitkan: 2022-09-21

Pada 24 Mei 2022, Cisco diberitahu oleh tim keamanannya bahwa telah terjadi pelanggaran. Penyerang telah berhasil mendapatkan akses, meningkatkan hak istimewa mereka, menginstal akses jarak jauh dan perangkat lunak peretasan, dan mengambil langkah-langkah untuk mempertahankan akses ke sistem. Mereka berhasil melakukan semua ini satu langkah pada satu waktu. Seperti yang akan kita lihat, ini seharusnya dapat dicegah dengan mudah.

Meskipun kita semua lebih pintar ketika melihat hal-hal secara retrospektif, kenyataannya adalah bahwa apa yang terjadi pada Cisco dapat terjadi pada siapa saja yang mengelola lingkungan WordPress.

Artikel ini akan melihat langkah-langkah peretas menuju pelanggaran yang berhasil dan bagaimana setiap pemilik dan pengelola situs web WordPress dapat mencegah pengulangan di situs web WordPress mereka.

Siapa yang melanggar Cisco?

Tidak banyak yang diketahui tentang orang atau orang-orang di balik pelanggaran Cisco. Investigasi telah menunjukkan bahwa IAB (Initial Access Broker) melakukan serangan tersebut. Sesuai dengan namanya, IAB membobol sistem tetapi tidak melakukan serangan. Setelah pelanggaran berhasil, mereka menginstal perangkat lunak untuk mempertahankan akses itu. Akses tersebut kemudian dijual atau diberikan kepada orang lain yang akan menggunakan akses tersebut untuk melakukan serangan yang sebenarnya. Bukti menunjukkan hubungan dengan tiga aktor jahat – UNC2447, Lapsus$, dan Yanluowang.

Bagaimana mereka melanggar Cisco

Langkah 1: Kata sandi peramban

Penyerang pertama kali mendapatkan akses ke akun Google pribadi karyawan. Dengan masuk ke browser Chrome menggunakan kredensial yang dicuri, penyerang dapat memperoleh akses ke kata sandi karyawan karena telah disimpan di browser dan dikonfigurasi untuk disinkronkan.

Analisis

Browser telah berkembang jauh sejak masa lalu Netscape dan Internet Explorer (kedua browser sejak itu telah dimasukkan ke dalam sejarah sejarah komputer). Mereka jauh lebih kuat, menawarkan rangkaian fitur yang jauh lebih kaya, dan lebih aman daripada sebelumnya.

Kata sandi browser adalah salah satu peningkatan tersebut – memungkinkan pengguna untuk menyimpan nama pengguna dan kata sandi mereka langsung di browser. Meskipun ini sangat nyaman, browser tidak menerapkan jenis praktik terbaik keamanan yang dilakukan pengelola kata sandi, sehingga membuatnya rentan terhadap peretasan.

Pengelola kata sandi mengharuskan pengguna untuk menggunakan kata sandi utama yang harus rumit dan mengenkripsi kata sandi apa pun yang disimpan – membuatnya sulit untuk dicuri. Beberapa pengelola kata sandi bahkan mengizinkan Anda menggunakan biometrik seperti sidik jari atau wajah Anda – meningkatkan keamanan dan kenyamanan.

Sementara browser mulai mengejar dalam hal keamanan kata sandi, mereka belum mencapai tingkat pengelola kata sandi, menjadikannya opsi yang tidak cocok.

Risiko keamanan potensial lainnya di sini adalah penggunaan kata sandi sederhana. Penelitian yang dilakukan oleh NordPass pada tahun 2021 menunjukkan bahwa meskipun ada kampanye kesadaran yang substansial, kata sandi yang sangat tidak aman masih lazim. Faktanya, para peneliti menemukan kata sandi '123456' digunakan lebih dari 103 juta kali, diikuti oleh '123456789' yang sama meragukannya, yang mencatat lebih dari 46 juta kali. Jika Anda bertanya-tanya, klasik seperti 'password', 'qwerty', dan 'iloveyou' semuanya masih ada dalam daftar.

Kata sandi ini membutuhkan waktu kurang dari satu detik untuk dipecahkan, membuatnya sangat tidak aman. Masalah yang diperparah adalah kenyataan bahwa perangkat lunak peretas kata sandi telah menjadi lebih maju dan bahkan dapat menjelaskan penggantian karakter khusus seperti mengganti a dengan @ atau e dengan 3.

Pencegahan

Sangat sedikit orang yang senang mengetik kata sandi yang panjang dan rumit, sehingga membuat orang mengambil jalan pintas. Penelitian mendukung pernyataan ini, itulah sebabnya sangat penting untuk membantu pengguna menggunakan kata sandi yang lebih baik.

Dorong kebersihan kata sandi yang lebih baik.

Kata sandi yang kuat adalah salah satu langkah terpenting yang dapat Anda ambil untuk mengurangi risiko. Kebijakan kata sandi WordPress yang kuat dapat membantu Anda memastikan bahwa pengguna tidak menggunakan kata sandi seperti '123456', yang menurut penelitian masih sangat umum.

Menggunakan WPassword, plugin keamanan kata sandi WordPress, Anda dapat memastikan bahwa praktik kata sandi yang baik diikuti ke T. Anda dapat mengatur kebijakan Anda sendiri, membantu Anda mencapai profil kebijakan yang Anda sukai dan senangi.

Mencegah pengguna menyimpan sandi di browser mereka adalah langkah penting lainnya yang dapat membantu Anda (dan pengguna Anda) mengurangi risiko. Lagi pula, bukan hanya kata sandi WordPress mereka yang berisiko dicuri – media sosial, perbankan, dan semua kata sandi lainnya sama-sama berisiko.

Pengelola kata sandi telah menjadi arus utama, dengan banyak solusi untuk dipilih. Pengelola kata sandi tidak hanya menghilangkan risiko yang terkait dengan menyimpan kata sandi di browser, tetapi mereka juga dapat membantu Anda membuat kata sandi yang lebih kuat, dan beberapa bahkan akan memperingatkan Anda jika ada kebocoran kata sandi.

Langkah 2: Rekayasa sosial

Setelah penyerang berhasil mengakses akun karyawan, mereka mulai mendaftarkan perangkat 2FA untuk melewati mekanisme keamanan yang ditawarkan oleh 2FA. Dengan 2FA yang cukup kuat, penyerang meluncurkan serangan dua arah yang memanfaatkan taktik rekayasa sosial untuk melewati 2FA.

  • Cabang Satu: 2FA kelelahan – Dalam serangan kelelahan 2FA, penyerang mencoba mendaftarkan beberapa perangkat 2FA, secara efektif memaksa korban untuk menangani beberapa permintaan 2FA. Jenis serangan ini sebagian besar lazim dalam pemberitahuan push karena yang harus dilakukan korban hanyalah menerima – apakah itu karena ketidaktahuan, kelelahan, atau sebaliknya.
  • Cabang Dua: Vishing – Vishing adalah jenis serangan rekayasa sosial di mana penyerang memanggil korban (phishing suara), mengaku sebagai seseorang dalam posisi otoritas. Kewenangan pura-pura ini disalahgunakan dengan menempatkan korban pada posisi di mana mereka merasa tidak punya pilihan selain menuruti permintaan si penelepon. Tuntutan ini dapat mencakup membocorkan informasi atau mengambil tindakan tertentu, seperti mengklik tautan tertentu.

Analisis

Rekayasa sosial tetap menjadi salah satu alat yang paling sering digunakan penyerang untuk melewati langkah-langkah keamanan. Dalam beberapa kasus, penyerang mungkin merasa lebih mudah untuk menipu orang daripada berurusan dengan sistem keamanan. Dalam kasus ini, penyerang harus menggunakan rekayasa sosial untuk mem-bypass 2FA.

Rekayasa sosial datang dalam berbagai bentuk, membutuhkan kebijakan keamanan yang komprehensif untuk memastikan serangan tidak berhasil. Karena rekayasa sosial menargetkan orang, kampanye kesadaran yang berkelanjutan dapat sangat membantu dalam meminimalkan dan mengurangi risiko.

Rekayasa sosial bergantung pada sejumlah prinsip, termasuk intimidasi, urgensi, keakraban, bukti sosial, otoritas, dan kelangkaan. Prinsip-prinsip ini digunakan dengan jahat untuk membuat orang mematuhi permintaan yang tidak akan mereka setujui.

Pencegahan

Tambahkan otentikasi dua faktor

Kata sandi yang kuat hanyalah garis pertahanan pertama. 2FA adalah aspek penting lain dari s online yang bagus

keamanan yang mampu menghentikan sebagian besar serangan online. 2FA, membutuhkan penyerang potensial

untuk juga mendapatkan akses ke telepon pengguna terdaftar – sesuatu yang cukup sulit.

Penyerang Cisco tidak pernah berhasil melewati pertahanan 2FA – sebaliknya, mereka mengandalkan taktik penipuan untuk mengelabui

dia menjadi korban untuk menyetujui permintaan mereka – yang pada akhirnya memungkinkan mereka untuk melewati 2FA.

Meski begitu, 2FA tetap menjadi solusi tangguh untuk keamanan akun online, membantu menghentikan serangan di jalurnya atau, a

t paling tidak, memperlambat mereka. Untungnya, menambahkan 2FA ke situs WordPress Anda mudah.

Investasikan pada pengguna Anda

Pendidikan pengguna adalah alat yang ampuh yang terlalu sering diabaikan – sampai ada insiden. Seperti pepatah lama, mencegah lebih baik daripada mengobati. Menjadi proaktif jauh lebih bermanfaat daripada memperbaiki kerusakan.

Memiliki kebijakan yang, antara lain, meminta pengguna untuk melaporkan permintaan 2FA yang tidak mereka harapkan dan memperjelas bahwa meskipun mereka menerima permintaan tersebut secara tidak sengaja – permintaan tersebut harus dilaporkan. Pengguna sering takut akan dampak yang timbul dari kesalahan tersebut, yang menyebabkan insiden tersebut tidak dilaporkan. Pahami bahwa ini dapat terjadi pada siapa saja – keringanan hukuman dan pengertian membantu Anda dan pengguna Anda.

Luangkan waktu untuk mempelajari kebijakan sesering mungkin dan, jika mungkin, daftarkan pengguna dalam kursus keamanan siber singkat yang dirancang untuk personel.

Langkah 3: Peningkatan hak istimewa

Setelah penyerang mendapatkan akses awal, mereka meningkat ke hak istimewa tingkat administrator, yang memungkinkan mereka untuk mengakses beberapa sistem. Inilah yang akhirnya membuat mereka pergi karena memberi tahu tim respons keamanan – yang dapat menyelidiki dan menghapusnya dari lingkungan.

Analisis

Dalam eskalasi hak istimewa, penyerang mencoba mendapatkan akses ke akun dengan serangkaian hak istimewa yang lebih tinggi daripada yang awalnya dikompromikan. Karena akun dengan otoritas yang lebih rendah biasanya tidak dijaga ketat seperti akun dengan otoritas yang lebih tinggi, mereka lebih mudah untuk dibobol. Setelah akses awal diperoleh, penyerang mungkin ingin meningkatkan hak istimewa untuk mengakses data yang lebih sensitif atau melakukan lebih banyak kerusakan.

Pencegahan

Meskipun WordPress pada umumnya adalah aplikasi yang aman, WordPress tidak kebal terhadap serangan. Mengurangi area permukaan serangan sangat penting untuk meminimalkan risiko. Proses pengurangan luas permukaan serangan ini disebut hardening dan dapat dilakukan pada beberapa tingkatan, antara lain;

Pengerasan WordPress
pengerasan PHP
Pengerasan server web
Pengerasan OS (Sistem Operasi)
pengerasan MySQL

Sub-sistem mana yang dapat Anda perkuat akan bergantung pada bagaimana WordPress Anda dihosting. Jika Anda memiliki paket hosting WordPress, penyedia hosting Anda melakukan sebagian besar tugas. Di sisi lain, jika Anda mengelola server Anda sendiri, Anda perlu memperkuat setiap subsistem sendiri.

Langkah 4: Instalasi alat

Setelah penyerang mendapatkan hak istimewa yang cukup (sebelum tim respons insiden menghentikan akses), mereka memasang berbagai alat persistensi untuk memastikan mereka dapat mempertahankan akses. Alat-alat ini akan memberikan akses di masa mendatang – apakah penyerang berencana mengunjungi kembali atau menjual akses ke pihak ketiga.

Analisis

Alat dan metode ketekunan, juga dikenal sebagai pintu belakang, sangat berbahaya karena memungkinkan akses untuk serangan di masa mendatang. Jika mereka tidak terdeteksi, mereka akan terus memberi penyerang akses berkelanjutan ke lingkungan. Karena sebagian besar alat ini dirancang untuk menghindari deteksi, menemukannya membutuhkan sedikit kerja ekstra.

Vendor seperti Google juga dapat memblokir domain atau IP Anda, yang secara negatif memengaruhi peringkat mesin telusur Anda. Ini bisa menjadi lebih sulit untuk dipulihkan, terutama jika kerusakan besar telah dilakukan sebelum menyadari pelanggaran tersebut.

Backdoor WordPress juga menggunakan beberapa fungsi PHP, yang dapat membuatnya lebih mudah dideteksi. Ini tidak berarti bahwa SEMUA backdoor menggunakan fungsi PHP tertentu tetapi harus diingat.

Pencegahan

Menemukan semua malware dan perangkat lunak yang ditinggalkan penyerang bisa sangat sulit. Sebagian besar administrator WordPress cenderung menggunakan cadangan sebelumnya dari sebelum pelanggaran awal. Beberapa perusahaan juga menawarkan layanan pembersihan WordPress profesional. Plugin tertentu juga dapat membantu Anda menemukan malware WordPress.

Salah satu alat berharga yang harus Anda gunakan adalah WordPress File Changes Monitor, monitor integritas file untuk WordPress. Plugin gratis ini pada dasarnya mengambil hash dari sistem file Anda setiap kali dijalankan dan kemudian membandingkannya dengan hash sebelumnya. Hash akan berubah sepenuhnya jika ada sedikit perubahan pada salah satu file. Ini akan memungkinkan Anda untuk memulai penyelidikan Anda untuk menentukan apakah pelanggaran telah terjadi.

Alat penting lainnya yang dapat membantu Anda melacak apa yang terjadi di balik kap mesin adalah WP Activity Log. Dengan menggunakan plugin ini, Anda akan menyimpan log aktivitas WordPress yang memberi Anda wawasan mendalam tentang aktivitas sistem dan pengguna situs WordPress Anda, memungkinkan Anda untuk mengetahui perilaku mencurigakan sejak dini. Dengan fitur-fitur seperti integrasi plugin pihak ke-3 dan email atau peringatan SMS, Anda akan tetap mendapat informasi setiap saat.

Rencana keamanan yang komprehensif adalah satu-satunya rencana keamanan

Serangan terhadap Cisco menunjukkan bahwa peretas semakin inovatif dan canggih dalam melakukan serangan – menggunakan banyak vektor untuk meningkatkan peluang keberhasilan pelanggaran. Sementara langkah-langkah seperti memasang firewall tetap penting, itu bukan peluru perak yang digambarkan oleh kebijaksanaan konvensional. Sebaliknya, pendekatan yang lebih holistik diperlukan untuk memastikan bahwa situs web WordPress kami dilindungi di semua lini.

Seperti yang ditunjukkan oleh pelanggaran Cisco, banyak lapisan sangat penting untuk memastikan pengerasan keamanan WordPress; namun, elemen manusia tetap penting. Dalam banyak hal, pengguna adalah pemangku kepentingan dalam keberhasilan situs WordPress mana pun, dan saat menerapkan kebijakan seperti hak istimewa yang paling rendah sangat penting, begitu juga pendidikan pengguna.