Cisco walczy w tym tygodniu z pożarami na kilku frontach cyberbezpieczeństwa, obejmujących usługę uwierzytelniania wieloskładnikowego Duo (MFA) i usługi VPN zdalnego dostępu.
Jak donosi The Register, Cisco powiadomiło klientów, że jeden z partnerów telefonii Duo padł ofiarą ataku phishingowego 1 kwietnia, podczas którego oszuści ukradli dane uwierzytelniające pracownika i wykorzystali je do uzyskania dostępu do dzienników wiadomości powiązanych z kontami Duo.
“Mówiąc dokładniej, aktor zagrożenia pobrał dzienniki wiadomości SMS, które zostały wysłane do niektórych użytkowników w ramach konta Duo w okresie od 1 marca 2024 r. do 31 marca 2024 r.”, czytamy w powiadomieniu Cisco.
Firma dodała:
“Cisco jest świadome incydentu z udziałem jednego dostawcy telefonii, który wysyła wiadomości Duo multifactor authentication (MFA) za pośrednictwem SMS-ów i VOIP do odbiorców z siedzibą w Ameryce Północnej. Cisco aktywnie współpracuje z dostawcą w celu zbadania i rozwiązania tego incydentu. Na podstawie informacji otrzymanych do tej pory od dostawcy oceniliśmy, że dotyczyło to około jednego procenta klientów Duo. Nasze dochodzenie jest w toku i powiadamiamy dotkniętych klientów za pośrednictwem naszych ustalonych kanałów, stosownie do sytuacji.”
Po odkryciu cyfrowego włamania, nienazwany dostawca “natychmiast” unieważnił dane uwierzytelniające pracownika i powiadomił Cisco o incydencie. Dostawca będzie również wymagał od wszystkich pracowników odbycia szkolenia z zakresu świadomości ataków socjotechnicznych.
To jednak nie jedyny problem. Zespół Cisco Talos ds. wykrywania zagrożeń “aktywnie monitoruje globalny wzrost liczby ataków typu brute-force” ukierunkowanych na usługi VPN Cisco i innych dostawców, interfejsy uwierzytelniania aplikacji internetowych i usługi SSH. Zgodnie z ostrzeżeniem wydanym we wtorek, ataki brute-force trwają co najmniej od 18 marca i pochodzą z węzłów wyjściowych TOR oraz innych anonimizujących tuneli i serwerów proxy.
Dotknięci dostawcy i usługi obejmują Cisco Secure Firewall VPN, Check Point VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek i Ubiquiti.
Cisco zaleciło swoim klientom Secure Firewall włączenie rejestrowania, aby pomóc wykryć te i inne ataki typu brute-force. Alert bezpieczeństwa zawiera także kroki umożliwiające organizacjom zabezpieczenie domyślnych profili VPN dostępu zdalnego, a następnie zablokowanie prób połączeń ze złośliwych źródeł.
