O Cisco piszemy ostatnio dosyć dużo. Nie dlatego, że się na nich uwzięliśmy, ale dlatego, że sporo informacji dotyczących tego producenta pojawia się w cybernewsach. Dodatkowo Cisco jest dużym graczem na rynku, a w ciągu ostatnich lat zaczęło pozycjonować się jako dostawca rozwiązań w zakresie cyberbezpieczeństwa.
15 kwietnia br. Cisco ostrzegło, że hakerzy włamali się do niezidentyfikowanego dostawcy usług telefonicznych umożliwiającego wysyłanie wiadomości SMS Duo MFA i ukradli logi, które można wykorzystać w dalszych atakach.
Zgodnie z zawiadomieniem wysłanym przez zespół Cisco ds. ochrony danych i reagowania na incydenty naruszenie ujawniło numery telefonów, operatorów telefonicznych, metadane i inne logi, które mogą umożliwiać przeprowadzenie ataków socjotechnicznych oraz phishingowych.
Z ostrzeżenia Cisco:
„Z naszych ustaleń wynika, że podmiot zagrażający uzyskał dostęp do wewnętrznych systemów Dostawcy 1 kwietnia 2024 r., korzystając z danych uwierzytelniających pracownika, które uzyskał nielegalnie w wyniku ataku phishingowego, i wykorzystał ten dostęp do pobrania zestawu dzienników wiadomości SMS MFA dotyczących Twojego Konta Duo”.
„Mówiąc dokładniej, ugrupowanie zagrażające pobrało dzienniki wiadomości SMS wysłanych do określonych użytkowników w ramach Twojego Konta Duo w okresie od 1 do 31 marca 2024 r. Dzienniki nie zawierały żadnej treści wiadomości, ale zawierały numery telefonów, informacje o operatorze telefonicznym, kraju, do którego wysłano każdą wiadomość, a także inne metadane (np. data i godzina wysłania wiadomości, typ wiadomości itp.)”.
Według Cisco dostawca usług telefonicznych, u którego doszło do naruszenia, potwierdził, że ugrupowanie zagrażające nie pobrało treści wiadomości ani w żaden inny sposób nie uzyskało do nich dostępu, a także nie wykorzystało zdobytych danych do wysyłania wiadomości na żaden z numerów zawartych w logach.
Cisco twierdzi, że kopie dzienników skradzionych wiadomości są dostępne na żądanie dla klientów posiadających konta Duo, których dotyczy problem.
„Ponieważ podmiot zagrażający uzyskał dostęp do logów wiadomości w wyniku udanego ataku socjotechnicznego na Dostawcę, prosimy o skontaktowanie się z użytkownikami, których dotyczy problem, których numery telefonów znajdowały się w dziennikach wiadomości, aby powiadomić ich bez zbędnej zwłoki o tym zdarzeniu i jednocześnie doradzić im zachowanie czujności i zgłaszanie wszelkich podejrzanych ataków wykorzystujących socjotechnikę odpowiedniemu zespołowi reagowania na incydenty” – zaapelowało Cisco.
W sierpniu 2018 roku Cisco ogłosiło, że zapłaci 2,35 miliarda dolarów w gotówce za przejęcie firmy Duo Security, dostawcy rozwiązań do zarządzania tożsamością i dostępem w chmurze.
Duo pierwotnie miało siedzibę w Ann Arbor w stanie Michigan. Zebrało 70 mln dolarów w ramach finansowania serii D w październiku 2017 r., co oznaczało wówczas wycenę firmy na 1,17 mld dolarów.
Dzięki swojej flagowej aplikacji do uwierzytelniania dwuskładnikowego (2FA) pakiet produktów Duo „Zaufany dostęp” pomaga weryfikować tożsamość użytkowników i stan ich urządzeń przed przyznaniem im dostępu do aplikacji. Platforma obsługuje komputery Mac, PC i urządzenia mobilne oraz zapewnia administratorom wgląd w urządzenia użytkowników końcowych uzyskujących dostęp do sieci firmowej.
Ogólnie rzecz biorąc, Cisco twierdzi, że dzięki technologii Duo będzie w stanie uprościć zasady bezpieczeństwa chmury i zwiększyć widoczność punktów końcowych.