Cisco 2022 hackinin bir analizi

Yayınlanan: 2022-09-21

24 Mayıs 2022'de Cisco, güvenlik ekipleri tarafından bir ihlal olduğu konusunda bilgilendirildi. Saldırgan erişim sağlamayı, ayrıcalıklarını yükseltmeyi, uzaktan erişim ve bilgisayar korsanlığı yazılımı yüklemeyi ve sistemlere erişimi sürdürmek için adımlar atmayı başarmıştı. Bunların hepsini birer birer yapmayı başardılar. Göreceğimiz gibi, bu kolayca önlenebilir olmalıydı.

Geriye dönük olarak baktığımızda hepimiz daha akıllı olsak da, gerçek şu ki Cisco'nun başına gelenler, WordPress ortamını yöneten herkesin başına gelebilir.

Bu makale, bilgisayar korsanlarının başarılı bir ihlale yönelik adımlarına ve her WordPress web sitesi sahibinin ve yöneticisinin WordPress web sitelerinde tekrarı nasıl önleyebileceğine bakacaktır.

Cisco'yu kim ihlal etti?

Cisco ihlalinin arkasındaki kişi veya kişiler hakkında fazla bir şey bilinmiyor. Araştırmalar, saldırıyı bir IAB'nin (İlk Erişim Aracısı) gerçekleştirdiğini gösterdi. Adından da anlaşılacağı gibi, IAB'ler sistemlere girer ancak saldırı gerçekleştirmez. Bir ihlal başarılı olduğunda, bu erişimi sürdürmek için yazılım yüklerler. Daha sonra erişim, gerçek saldırıyı gerçekleştirmek için erişimi kullanacak başka birine satılır veya verilir. Kanıtlar, üç kötü niyetli aktörle – UNC2447, Lapsus$ ve Yanluowang – bağlantılara işaret ediyor.

Cisco'yu nasıl ihlal ettiler?

1. Adım: Tarayıcı şifreleri

Saldırgan önce bir çalışanın kişisel Google hesabına erişim sağladı. Saldırgan, çalınan kimlik bilgilerini kullanarak bir Chrome tarayıcısında oturum açarak, tarayıcıya kaydedildiği ve senkronize edilecek şekilde yapılandırıldığı için çalışanın şifrelerine erişebilir.

analiz

Tarayıcılar, Netscape ve Internet Explorer'ın eski günlerinden bu yana çok yol kat etti (her iki tarayıcı da o zamandan beri bilgisayar tarihinin yıllıklarına emanet edildi). Çok daha sağlamlar, çok daha zengin bir özellik seti sunuyorlar ve eskisinden daha güvenliler.

Tarayıcı şifreleri bu tür bir gelişmedir - kullanıcıların kullanıcı adlarını ve şifrelerini doğrudan tarayıcıya kaydetmelerine olanak tanır. Bu çok kullanışlı olsa da, tarayıcılar şifre yöneticilerinin yaptığı en iyi güvenlik uygulamaları türünü zorlamaz ve bu da onları bilgisayar korsanlığına karşı savunmasız hale getirir.

Parola yöneticileri, kullanıcıların uygun şekilde karmaşık olması gereken bir ana parola kullanmasını ve kaydedilmiş parolaları şifrelemesini gerektirir; bu da çalınmalarını zorlaştırır. Bazı şifre yöneticileri, parmak izleriniz veya yüzünüz gibi biyometri kullanmanıza izin vererek güvenliği ve rahatlığı artırır.

Tarayıcılar şifre güvenliği konusunda arayı kapatmaya başlamış olsa da henüz şifre yöneticileri seviyesine ulaşmamış olmaları onları uygunsuz bir seçenek haline getiriyor.

Buradaki bir diğer potansiyel güvenlik riski, basit şifrelerin kullanılmasıdır. NordPass tarafından 2021'de yapılan araştırma, önemli farkındalık kampanyalarına rağmen, gülünç derecede güvenli olmayan şifrelerin hala yaygın olduğunu gösteriyor. Aslında, araştırmacılar '123456' şifresinin 103 milyondan fazla kez kullanıldığını ve ardından 46 milyondan fazla kez kullanılan eşit derecede şüpheli '123456789' şifresini buldular. Merak ediyorsanız, 'password', 'qwerty' ve 'iloveyou' gibi klasikler hala listede.

Bu parolaların kırılması bir saniyeden daha kısa sürer ve bu da onları inanılmaz derecede güvensiz hale getirir. Sorunu daha da karmaşık hale getiren şey, şifre kırma yazılımının daha gelişmiş olması ve a ile @ veya e ile 3 arasında geçiş yapmak gibi özel karakter değişimlerini bile hesaba katabilmesidir.

Önleme

Çok az insan uzun ve karmaşık şifreler yazmaktan hoşlanır, bu da insanları kısayollara yönlendirir. Araştırmalar bu iddiayı desteklemektedir, bu nedenle kullanıcıların daha iyi şifreler kullanmasına yardımcı olmak çok önemlidir.

Daha iyi parola hijyenini teşvik edin.

Güçlü bir parola, riskleri azaltmak için atabileceğiniz en önemli adımlardan biridir. Güçlü bir WordPress şifre politikası, araştırmaların bize gösterdiği gibi, kullanıcıların hala çok yaygın olan '123456' gibi şifreleri kullanmadığından emin olmanıza yardımcı olabilir.

Bir WordPress şifre güvenliği eklentisi olan WPassword'ü kullanarak, iyi şifre uygulamalarının bir T'ye kadar takip edilmesini sağlayabilirsiniz. Kendi politikanızı belirleyerek rahat ve mutlu olduğunuz bir politika profili elde etmenize yardımcı olabilirsiniz.

Kullanıcıları tarayıcılarına parola kaydetme konusunda cesaretlendirmek, size (ve kullanıcılarınıza) riskleri azaltmanıza yardımcı olabilecek bir diğer önemli adımdır. Ne de olsa, çalınma riski taşıyanlar yalnızca WordPress şifreleri değildir; sosyal medya, bankacılık ve diğer tüm şifreler eşit derecede risk altındadır.

Parola yöneticileri, aralarından seçim yapabileceğiniz birçok çözümle ana akım haline geldi. Parola yöneticileri yalnızca parolaları tarayıcılara kaydetmeyle ilgili riskleri ortadan kaldırmakla kalmaz, aynı zamanda daha güçlü parolalar bulmanıza da yardımcı olabilir ve hatta bazıları bir parola sızıntısı olduğunda sizi uyarır.

2. Adım: Sosyal mühendislik

Saldırgan, çalışanın hesabına erişmeyi başardıktan sonra, 2FA tarafından sunulan güvenlik mekanizmalarını atlamak için 2FA cihazlarını kaydetmeye başladı. 2FA'nın oldukça sağlam olmasıyla saldırgan, 2FA'yı atlamak için sosyal mühendislik taktiklerini kullanan iki yönlü bir saldırı başlattı.

  • Prong One: 2FA yorgunluğu – 2FA yorulma saldırısında, saldırgan birden fazla 2FA cihazı kaydetmeye çalışır ve kurbanı birden fazla 2FA isteğiyle etkin bir şekilde ilgilenmeye zorlar. Bu tür saldırılar çoğunlukla push bildirimlerinde yaygındır çünkü kurbanın tek yapması gereken kabul etmektir – ister bilgisizlikten, ister yorgunluktan veya başka bir nedenle.
  • Prong Two: Vishing – Vishing, saldırganın yetkili konumunda biri olduğunu iddia ederek kurbanı (sesli kimlik avı) aradığı bir tür sosyal mühendislik saldırısıdır. Bu sahte yetki, mağduru, arayanın taleplerine uymaktan başka seçeneklerinin olmadığını düşündükleri bir konuma getirerek kötüye kullanılır. Bu talepler, bilgilerin ifşa edilmesini veya belirli bağlantılara tıklamak gibi belirli eylemlerin yapılmasını içerebilir.

analiz

Sosyal mühendislik, saldırganların güvenlik önlemlerini atlamak için kullandığı en çok kullanılan araçlardan biri olmaya devam ediyor. Bazı durumlarda, saldırganlar güvenlik sistemiyle uğraşmaktansa insanları dolandırmayı daha kolay bulabilir. Bu durumda, saldırganın 2FA'yı atlamak için sosyal mühendisliğe başvurması gerekiyordu.

Sosyal mühendislik, saldırıların başarılı olmadığından emin olmak için kapsamlı bir güvenlik politikası gerektiren birçok biçimde gelir. Sosyal mühendislik insanları hedef aldığından, sürekli farkındalık kampanyaları riskleri en aza indirmede ve azaltmada uzun bir yol kat edebilir.

Sosyal mühendislik, yıldırma, aciliyet, aşinalık, sosyal kanıt, otorite ve kıtlık gibi bir dizi ilkeye dayanır. Bu ilkeler, insanların normalde kabul etmeyecekleri isteklere uymalarını sağlamak için kötü niyetli olarak kullanılmaktadır.

Önleme

İki faktörlü kimlik doğrulama ekleyin

Güçlü parolalar yalnızca ilk savunma hattıdır. 2FA, iyi çevrimiçi iletişimin bir diğer önemli yönüdür.

çevrimiçi saldırıların büyük çoğunluğunu durdurabilen ecurity. 2FA, herhangi bir potansiyel saldırgan gerektirir

ayrıca kayıtlı bir kullanıcının telefonuna erişim elde etmek - bu oldukça zor bir şey.

Cisco'nun saldırganları, 2FA'nın savunmasını hiçbir zaman aşmayı başaramadı - bunun yerine, onları kandırmak için aldatma taktiklerine güvendiler.

isteklerini kabul etmeye kurban gitti - bu da sonunda 2FA'yı atlamalarına izin verdi.

Buna rağmen, 2FA çevrimiçi hesap güvenliği için müthiş bir çözüm olmaya devam ediyor ve saldırıların durdurulmasına yardımcı oluyor.

t en azından, onları yavaşlatmak. Neyse ki, WordPress web sitenize 2FA eklemek kolaydır.

Kullanıcılarınıza yatırım yapın

Kullanıcı eğitimi, bir olay olana kadar, çoğu zaman göz ardı edilen güçlü bir araçtır. Eski atasözü devam ederken, önleme tedaviden daha iyidir. Proaktif olmak, hasarı onarmaktan çok daha faydalıdır.

Diğer şeylerin yanı sıra, kullanıcılardan beklemedikleri 2FA isteklerini bildirmelerini isteyen bir politikaya sahip olun ve bu tür bir talebi yanlışlıkla kabul etseler bile rapor edilmesi gerektiğini açıkça belirtin. Kullanıcılar genellikle bu tür hatalardan kaynaklanan tepkilerden korkar ve bu tür olayların bildirilmemesine neden olur. Bunun herkesin başına gelebileceğini anlayın - hoşgörü ve anlayış hem size hem de kullanıcılarınıza yardımcı olur.

Politikayı sık sık gözden geçirmek için zaman ayırın ve mümkünse kullanıcıları personel için tasarlanmış kısa siber güvenlik kurslarına kaydedin.

3. Adım: Ayrıcalık yükseltme

Saldırgan ilk erişim elde ettikten sonra, birden fazla sisteme erişmesine izin veren yönetici düzeyinde ayrıcalıklara yükseldi. Bu, onları araştırıp ortamdan kaldırabilen güvenlik müdahale ekibini uyardığı için nihayetinde onları ele veren şeydir.

analiz

Ayrıcalık yükseltmede, saldırgan, başlangıçta güvenliği ihlal edilenden daha yüksek ayrıcalıklara sahip hesaplara erişmeye çalışır. Düşük yetkili hesaplar, genellikle yüksek yetkili hesaplar kadar yoğun bir şekilde korunmadığından, izinsiz girmeleri daha kolaydır. İlk erişim elde edildikten sonra, saldırgan daha hassas verilere erişmek veya daha fazla zarar vermek için ayrıcalıkları yükseltmek isteyebilir.

Önleme

WordPress, genel olarak güvenli bir uygulama olsa da, saldırılara karşı bağışık değildir. Saldırı yüzey alanını azaltmak, riski en aza indirmek için zorunludur. Saldırı yüzey alanını azaltma işlemine sertleştirme denir ve aşağıdakiler de dahil olmak üzere çeşitli seviyelerde yapılabilir;

WordPress sertleştirme
PHP sertleştirme
Web sunucusu sertleştirme
OS (İşletim Sistemi) sertleştirme
MySQL sertleştirme

Hangi alt sistemleri güçlendirebileceğiniz, WordPress'inizin nasıl barındırıldığına bağlı olacaktır. Bir WordPress barındırma planınız varsa, barındırma sağlayıcınız görevlerin çoğunu gerçekleştirir. Öte yandan, kendi sunucunuzu yönetiyorsanız, her bir alt sistemi kendiniz güçlendirmeniz gerekecektir.

Adım 4: Alet kurulumu

Saldırganlar yeterli ayrıcalıkları elde ettikten sonra (olay müdahale ekibi erişimi sonlandırmadan önce), erişimi sürdürebilmelerini sağlamak için çeşitli kalıcılık araçları kurdular. Bu araçlar, saldırganlar yeniden ziyaret etmeyi veya erişimi üçüncü bir tarafa satmayı planlamış olsunlar, gelecekte erişim sağlayabilirdi.

analiz

Arka kapı olarak da bilinen kalıcılık araçları ve yöntemleri, gelecekteki saldırılar için erişime izin verdikleri için iki kat tehlikelidir. Tespit edilmezlerse, saldırgana çevreye sürekli erişim sağlamaya devam edecekler. Bu araçların çoğu, algılanmayı önlemek için tasarlandığından, onları bulmak biraz fazladan iş gerektirebilir.

Google gibi satıcılar da alan adınızı veya IP'nizi engelleyerek arama motoru sıralamanızı olumsuz yönde etkileyebilir. Özellikle ihlal fark edilmeden önce önemli bir hasar verilmişse, bundan kurtulmak daha da zor olabilir.

WordPress arka kapıları ayrıca, tespit edilmelerini kolaylaştırabilecek birkaç PHP işlevinden yararlanır. Bu, TÜM arka kapıların belirli PHP işlevlerini kullandığı anlamına gelmez, ancak akılda tutulması gereken bir şeydir.

Önleme

Bir saldırganın geride bıraktığı tüm kötü amaçlı yazılımları ve yazılımları bulmak çok zor olabilir. Çoğu WordPress yöneticisi, ilk ihlalden önceki bir yedeklemeye başvurma eğilimindedir. Birkaç şirket ayrıca profesyonel WordPress temizlik hizmetleri sunmaktadır. Bazı eklentiler, WordPress kötü amaçlı yazılımını bulmanıza da yardımcı olabilir.

Kullanmanız gereken paha biçilmez bir araç, WordPress için bir dosya bütünlüğü izleyicisi olan WordPress Dosya Değişiklikleri İzleyicisidir. Bu ücretsiz eklenti, esasen her çalıştığında dosya sisteminizin bir karmasını alır ve ardından bunu önceki karma ile karşılaştırır. Dosyalardan herhangi birinde en ufak bir değişiklik olursa hash tamamen değişecektir. Bu, bir ihlal olup olmadığını belirlemek için araştırmalarınızı başlatmanıza olanak tanır.

Başlık altında neler olup bittiğini takip etmenize yardımcı olabilecek bir diğer önemli araç WP Etkinlik Günlüğü'dür. Bu eklentiyi kullanarak, WordPress web sitenizin kullanıcı ve sistem etkinlikleri hakkında size derin bilgiler veren ve şüpheli davranışları erkenden tespit etmenize olanak tanıyan bir WordPress etkinlik günlüğü tutacaksınız. 3. parti eklenti entegrasyonları ve e-posta veya SMS uyarıları gibi özellikler ile her zaman haberdar olabileceksiniz.

Kapsamlı bir güvenlik planı, tek güvenlik planıdır

Cisco'ya yapılan saldırı, bilgisayar korsanlarının başarılı bir ihlal şansını artırmak için birden fazla vektör kullanarak saldırıları gerçekleştirmede daha yenilikçi ve sofistike hale geldiğini gösteriyor. Güvenlik duvarı kurmak gibi önlemler önemini korusa da, bunlar geleneksel bilgeliğin gösterdiği gibi gümüş kurşun değildir. Bunun yerine, WordPress web sitelerimizin her yönden korunmasını sağlamak için daha bütünsel bir yaklaşım gereklidir.

Cisco ihlalinin bize gösterdiği gibi, WordPress güvenliğinin sağlamlaştırılmasını sağlamak için birden çok katman kritik öneme sahiptir; ancak, insan unsuru esastır. Birçok yönden, kullanıcılar herhangi bir WordPress web sitesinin başarısındaki paydaşlardır ve en az ayrıcalık gibi politikaları uygularken kullanıcı eğitimi de zorunludur.