网络巨头的 Duo MFA 消息日志在网络钓鱼攻击中被盗
本周,思科正在几个网络安全领域进行救火,涉及其 Duo 多重身份验证 (MFA) 服务和远程访问 VPN 服务。
思科已提醒客户,其 Duo 电话合作伙伴之一于 4 月 1 日成为网络钓鱼攻击的受害者,在此期间,骗子窃取了一名员工的凭据,并使用它们访问与 Duo 帐户相关的消息日志。
根据思科的通知, “更具体地说,威胁行为者下载了 2024 年 3 月 1 日至 2024 年 3 月 31 日期间发送给您 Duo 帐户下的某些用户的 SMS 消息的消息日志。”
根据思科的一份声明:
思科已获悉涉及一家电话供应商的事件,该供应商通过 SMS 和 VOIP 向北美的接收者发送 Duo 多重身份验证 (MFA) 消息。思科正在积极与供应商合作调查并解决该事件。根据迄今为止从供应商处收到的信息,我们评估 Duo 大约百分之一的客户受到了影响。我们的调查正在进行中,我们将酌情通过我们既定的渠道通知受影响的客户。
思科声称Duo 在全球拥有超过 100,000 名客户,因此,如果 1% 的数字准确,则意味着大约 1,000 名客户可能收到了有关该事件的电子邮件通知。
在发现数字入侵后,未透露姓名的供应商“立即”使该员工的凭据失效,并将该事件通知思科。据我们所知,供应商还将要求所有员工接受社会工程攻击意识培训。
被盗日志不包含任何消息内容,但据报道确实包括电话号码、每条消息发送到的国家/地区和州,以及有关消息时间和类型的一些元数据,以及有关运营商处理 TXT 的信息。
据思科称,未透露姓名的电话供应商确认,入侵者“没有下载或以其他方式访问任何消息的内容,也没有利用对提供商内部系统的访问权限向消息日志中包含的任何号码发送任何消息。”
针对远程 VPN 的暴力攻击
与此同时,在 VPN 方面,思科的 Talos 威胁追踪团队正在“积极监控全球暴力攻击的增长”,目标是思科和其他提供商的 VPN 服务、Web 应用程序身份验证接口和 SSH 服务。
根据周二发布的警报,暴力攻击至少自 3 月 18 日以来一直在持续,并且源自 TOR 出口节点和其他匿名隧道和代理。
Talos 表示,受影响的提供商和服务包括 Cisco Secure Firewall VPN、Check Point VPN、Fortinet VPN、SonicWall VPN、RD Web Services、Miktrotik、Draytek 和 Ubiquiti,并指出“其他服务可能会受到这些攻击的影响”。
暴力尝试使用特定组织的通用且有效的用户名。此外,他们似乎针对各个行业和地区的受害者。
在另一份安全公告中,思科表示,入侵尝试似乎“与侦察工作有关”,但没有推测谁对这些尝试负责,也没有说入侵尝试是否成功。
针对The Reg的提问,思科发言人发表了这样的声明:
思科意识到全球针对各种目标的暴力攻击有所增加,包括虚拟专用网络 (VPN) 服务、Web 应用程序身份验证接口和 SSH 服务。Cisco Talos 指出,这些攻击不仅限于思科产品,还包括第三方 VPN 服务。为了帮助确保客户安全,我们发布了 Talos 博客和思科支持页面,其中包含建议的指导和缓解步骤。请参阅Talos 博客和思科技术说明支持页面了解更多详细信息。
至于报告中列出的其他供应商:Check Point 没有发表评论,其他供应商没有回复The Register的询问或无法联系到。
思科建议其安全防火墙客户启用日志记录以帮助检测这些攻击和其他暴力攻击。其安全警报还包括组织保护默认远程访问 VPN 配置文件的步骤,然后阻止来自恶意来源的连接尝试。