Η ομάδα ασφαλείας της υπηρεσίας Cisco Duo προειδοποιεί ότι ορισμένοι πελάτες επηρεάστηκαν από μια παραβίαση, αφού hackers έκλεψαν VoIP και SMS logs για μηνύματα ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA). Η παραβίαση ήταν δυνατή μέσω κυβερνοεπίθεσης στον πάροχο τηλεφωνίας της υπηρεσίας.

Η Cisco Duo είναι μια υπηρεσία ελέγχου ταυτότητας πολλαπλών παραγόντων και Single Sign-On, που χρησιμοποιείται από πολλές εταιρείες για ασφαλή πρόσβαση σε εσωτερικά δίκτυα και εταιρικές εφαρμογές.

Η Cisco Duo ενημερώνει τους πελάτες, μέσω email, και αναφέρει ότι ένας ανώνυμος πάροχος που χειρίζεται τα μηνύματα ελέγχου ταυτότητας πολλαπλών παραγόντων SMS και VOIP (MFA) της εταιρείας, παραβιάστηκε την 1η Απριλίου 2024. Οι επιτιθέμενοι έλαβαν τα credentials ενός υπαλλήλου, μέσω επίθεσης phishing, και τα χρησιμοποίησαν για να αποκτήσουν πρόσβαση στα συστήματα του παρόχου τηλεφωνίας.

Δείτε επίσης: Cisco: Password-spraying επιθέσεις στοχεύουν VPN υπηρεσίες

Στη συνέχεια, κατέβασαν αρχεία καταγραφής μηνυμάτων SMS και VoIP MFA που σχετίζονται με συγκεκριμένους λογαριασμούς Cisco Duo (μεταξύ 1ης Μαρτίου 2024 και 31ης Μαρτίου 2024).

Η Cisco είπε ότι συνεργάζεται με τον Πάροχο για τη διερεύνηση και την αντιμετώπιση του περιστατικού. Η έρευνα βρίσκεται σε εξέλιξη. Μέχρι στιγμής, ο πάροχος έχει επιβεβαιώσει ότι οι επιτιθέμενοι δεν είχαν πρόσβαση στο περιεχόμενο των μηνυμάτων, ούτε χρησιμοποίησαν την πρόσβασή τους για να στείλουν μηνύματα σε πελάτες.

Ωστόσο, τα κλεμμένα αρχεία καταγραφής περιέχουν δεδομένα που θα μπορούσαν να χρησιμοποιηθούν σε στοχευμένες επιθέσεις phishing, οι οποίες με τη σειρά τους θα μπορούσαν να οδηγήσουν στην κλοπή πιο ευαίσθητων δεδομένων.

Τα δεδομένα που περιέχονται σε αυτά τα αρχεία καταγραφής περιλαμβάνουν:

  • Τηλεφωνικό νούμερο
  • Carrier
  • Δεδομένα τοποθεσίας
  • Ημερομηνία
  • Χρόνο
  • Τύπο μηνύματος

Όταν ο πάροχος ανακάλυψε την παραβίαση, ακύρωσε τα παραβιασμένα διαπιστευτήρια, ανέλυσε τα αρχεία καταγραφής δραστηριοτήτων και ειδοποίησε τη Cisco. Επίσης, εφαρμόστηκαν πρόσθετα μέτρα ασφαλείας για την αποφυγή παρόμοιων περιστατικών στο μέλλον.

Δείτε επίσης: Η Cisco διορθώνει κρίσιμες ευπάθειες στο IOS XR software

Ο πάροχος παρείχε στη Cisco Duo όλα τα εκτεθειμένα αρχεία καταγραφής μηνυμάτων.

Η Cisco προειδοποιεί τους πελάτες που επηρεάζονται από αυτήν την παραβίαση να είναι σε επαγρύπνηση, καθώς οι επιτιθέμενοι μπορεί να χρησιμοποιήσουν τα κλεμμένα αρχεία για στοχευμένες phishing επιθέσεις.

Επειδή οι επιτιθέμενοι απέκτησαν πρόσβαση στα αρχεία καταγραφής μηνυμάτων, μέσω μιας επιτυχημένης επίθεσης κοινωνικής μηχανικής στον Πάροχο, επικοινωνήστε με τους πελάτες των οποίων οι αριθμοί τηλεφώνου περιέχονταν στα αρχεία καταγραφής μηνυμάτων, για να τους ενημερώσετε και συμβουλεύστε τους να είναι σε επαγρύπνηση και να αναφέρουν τυχόν ύποπτες επιθέσεις στην αρμόδια ομάδα αντιμετώπισης περιστατικών ή σε άλλο καθορισμένο σημείο επαφής για τέτοια θέματα“, καταλήγει η ειδοποίηση από την Ομάδα Προστασίας Προσωπικών Δεδομένων και Αντιμετώπισης Συμβάντων της Cisco.

Ενίσχυση ασφάλειας

Η Cisco Duo έχει λάβει μια σειρά από μέτρα ασφαλείας μετά το περιστατικό. Καταρχάς, έχει ενημερώσει τους πελάτες της και τους έχει παροτρύνει να ακολουθήσουν τις βέλτιστες πρακτικές ασφαλείας.

Δείτε επίσης: Cisco: Κυκλοφόρησε Patch για σοβαρή ευπάθεια στο Secure Client

Επιπλέον, έχει ενισχύσει την παρακολούθηση των συστημάτων της για να ανιχνεύσει και να αντιμετωπίσει οποιαδήποτε ύποπτη δραστηριότητα. Αυτό περιλαμβάνει την ενίσχυση των δυνατοτήτων ανίχνευσης εισβολής και την εφαρμογή πιο αυστηρών πολιτικών ασφαλείας.

Τέλος, η Cisco Duo μπορεί να αναλάβει δράση για την ενίσχυση της ασφάλειας των δεδομένων των πελατών της, περιλαμβάνοντας την εφαρμογή πρόσθετων επιπέδων κρυπτογράφησης και την επέκταση των δυνατοτήτων προστασίας από απώλεια δεδομένων.

Πηγή: www.bleepingcomputer.com