Cyberataki na Cisco – firma ostrzega użytkowników

itreseller.com.pl 7 miesięcy temu

Cisco walczy w tym tygodniu z pożarami na kilku frontach cyberbezpieczeństwa, obejmujących usługę uwierzytelniania wieloskładnikowego Duo (MFA) i usługi VPN zdalnego dostępu.

Jak informuje The Register, Cisco powiadomiło klientów, iż jeden z partnerów telefonii Duo padł ofiarą ataku phishingowego 1 kwietnia, podczas którego oszuści ukradli dane uwierzytelniające pracownika i wykorzystali je do uzyskania dostępu do dzienników wiadomości powiązanych z kontami Duo.

“Mówiąc dokładniej, aktor zagrożenia pobrał dzienniki wiadomości SMS, które zostały wysłane do niektórych użytkowników w ramach konta Duo w okresie od 1 marca 2024 r. do 31 marca 2024 r.”, czytamy w powiadomieniu Cisco.

Firma dodała:

“Cisco jest świadome incydentu z udziałem jednego dostawcy telefonii, który wysyła wiadomości Duo multifactor authentication (MFA) za pośrednictwem SMS-ów i VOIP do odbiorców z siedzibą w Ameryce Północnej. Cisco aktywnie współpracuje z dostawcą w celu zbadania i rozwiązania tego incydentu. Na podstawie informacji otrzymanych do tej pory od dostawcy oceniliśmy, iż dotyczyło to około jednego procenta klientów Duo. Nasze dochodzenie jest w toku i powiadamiamy dotkniętych klientów za pośrednictwem naszych ustalonych kanałów, stosownie do sytuacji.”

Po odkryciu cyfrowego włamania, nienazwany dostawca “natychmiast” unieważnił dane uwierzytelniające pracownika i powiadomił Cisco o incydencie. Dostawca będzie również wymagał od wszystkich pracowników odbycia szkolenia z zakresu świadomości ataków socjotechnicznych.

To jednak nie jedyny problem. Zespół Cisco Talos ds. wykrywania zagrożeń “aktywnie monitoruje globalny wzrost liczby ataków typu brute-force” ukierunkowanych na usługi VPN Cisco i innych dostawców, interfejsy uwierzytelniania aplikacji internetowych i usługi SSH. Zgodnie z ostrzeżeniem wydanym we wtorek, ataki brute-force realizowane są co najmniej od 18 marca i pochodzą z węzłów wyjściowych TOR oraz innych anonimizujących tuneli i serwerów proxy.

Dotknięci dostawcy i usługi obejmują Cisco Secure Firewall VPN, Check Point VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek i Ubiquiti.

Cisco zaleciło swoim klientom Secure Firewall włączenie rejestrowania, aby pomóc wykryć te i inne ataki typu brute-force. Alert bezpieczeństwa zawiera także kroki umożliwiające organizacjom zabezpieczenie domyślnych profili VPN dostępu zdalnego, a następnie zablokowanie prób połączeń ze złośliwych źródeł.

Idź do oryginalnego materiału