10月20日,统一身份安全服务提供商Okta披露了一个安全漏洞,涉及未经授权访问其客户支持系统。当黑客利用被盗的凭证渗透Okta管理系统时,就可以在该系统中查看某些客户上传的文件,并将其用来冒充有效用户。而在稍早之前,思科公司也对外发布安全警告,由于其IOS XE软件中的一个高危级漏洞,严重影响了其暴露在互联网上的4万台网络设备运营安全性。
以上不断发生的IT公司安全性事件也表明了,IT行业正在成为网络攻击的重灾区,这也引起了网络安全行业的担忧。一方面,IT类企业往往会拥有大量的合作伙伴和产品用户,其安全事件的影响范围会非常广泛;另一方面,针对IT企业的网络攻击也会打击更多传统企业安全团队的信心,“连那些以科技产品和服务(包括网络安全)为主业的企业都无法免受网络攻击威胁,那我们该怎么办?”
为了充分了解网络攻击对IT行业的影响和特点,安全网站CRN日前盘点了在2023年遭到攻击的10家知名的IT公司,并对相关攻击情况进行了分析。
01Okta
在2023年10月20日,BleepingComputer发布了一篇题为“Okta 表示,其支持系统因凭据被盗而遭到破坏”的文章。该文章一经发布,引起了大量讨论。据报道,国际身份软件巨头Okta的客户支持系统遭到黑客攻击,导致客户上传的Cookie和会话令牌等敏感数据泄露,并侵入了客户网络。这导致Okta股票在上周五收盘时下跌了11%。
Okta首席安全官David Bradbury表示:“威胁行为者能够查看近期支持案例中某些Okta客户上传的文件。”目前,Okta尚未提供此次入侵泄露或访问的受影响客户信息。不过,此次攻击中被入侵的支持案例管理系统也存储了HTTP存档(HAR)文件,这些文件用于复制用户或管理员错误,从而排除用户报告的各种问题。这些文件还包含敏感数据,例如Cookie和会话令牌。威胁行为者可能会使用这些数据来劫持客户账户。
02思科
10月16日,安全人员发现了一个严重的IOS XE漏洞,导致了近42000台思科设备面临攻击危险。安全专家表示,针对思科IOS XE用户的持续攻击或将是有史以来最广泛的边缘攻击之一。
思科公司在其发布的正式安全公告中表示,IOS XE的零日漏洞已被攻击者大肆利用。特权升级漏洞被思科公司评估为其公司的最高严重等级:10.0。思科的Talos威胁情报团队表示,恶意攻击者通过利用这个漏洞,就可以全面控制被攻击的设备。
目前,众多思科公司网络设备都使用了IOS XE网络软件平台,而其中许多设备通常部署在边缘环境中,这包括分支路由器、工业路由器和聚合路由器,以及Catalyst 9100接入点和物联网就绪的Catalyst 9800无线控制器。
03CDWCorporation
CDW Corporation是一家全球500强企业,为北美地区的政府和企业客户提供全面的信息技术解决方案。10月12日,CDW公司证实,它正在就一起网络安全勒索攻击事件开展调查,此前勒索犯罪团伙LockBit声称窃取了该公司的业务数据,并要求CDW支付8000万美元的赎金,这是迄今为止该勒索攻击组织提出的最高赎金要求。
在后续的谈判中,由于CDW公司仅愿意支付8000万美元赎金要求中的110万美元。因此,LockBit在其常用的暗网泄露网站表示,属于CDW的所有可用数据已被公布,并提供了一个可下载94.7 GB归档数据的链接。
04ScanSource
2023年5月中旬,全球领先的IT和电信分销商ScanSource对外宣布,公司成为勒索软件攻击的受害者。这起攻击在5月14日被ScanSource公司的安全运营团队发现,对公司业务系统的影响持续了近两周,导致包括其大部分网站系统在内的业务系统瘫痪,从而影响了其遍布全球各地的客户和供应商。
尽管ScanSource公司在发现攻击后,立即开始了事件调查,同时还实施了事件响应计划,但这次攻击仍然严重影响了该公司的多个软、硬件产品分销核心系统。
053CX
2023年3月,通信软件开发商3CX发生了严重的软件供应链安全事件。尽管3CX公司表示,这起攻击事件在发生后的几周内就被发现,因而该事件给公司及其客户带来的影响有限。但是,该事件还是引起了人们的极大担忧,因为其产品被广泛使用,目前客户总数已经超过60万家,通过其25000个合作伙伴进行销售。
网络安全公司Mandiant对该事件进行了调查,研究人员认为3CX攻击活动是由早期的供应链攻击导致的。研究人员透露,在之前的攻击中,攻击者篡改了金融软件公司Trading Technologies分发的一个软件包。这是Mandiant首次发现一起软件供应链攻击导致另一起软件供应链攻击。
06Cognizant
Cognizant是一家全球性的IT解决方案提供商,在今年的6月27日,该公司因为其使用的MOVEit 产品中存在严重漏洞而攻击而遭受了勒索软件攻击,并且登上了Clop组织发布的被勒索企业名单中。Clop组织随后声称,已在其专属的暗网网站上,发布了其窃取的Cognizant公司数据,随后还将这些数据作为种子下载提供,这些数据主要涉及Cognizant员工的数据,包括公司信用卡和个人数据等。目前,Cognizant公司还一直没有官方回复该起勒索攻击传言。其实早在2020年,Cognizant公司就成为迷宫勒索软件活动的主要受害者之一。该公司当时表示,预计将花费高达7000万美元来修复攻击造成的损失。
07IBM
今年6月,IBM公司同样因为使用了MOVEit相关产品,导致美国科罗拉多州和密苏里州的多家政府机构客户信息被非法访问。IBM公司表示,MOVEit Transfer 是一款数据传输程序,并非IBM自研,而是由Progress Software公司开发,IBM会将该工具作为客户提供服务的一部分。
通过利用MOVEit Transfer漏洞,未经授权的攻击者可能已访问的用户个人信息包括:姓名、社会保障号、医疗补助识别(ID)号码、医疗保险ID号码、出生日期、家庭住址及联系方式、人口统计或收入信息、临床及医疗信息(比如诊断、病情、化验结果、药物或其他治疗信息)以及健康保险信息。
事件发生后,IBM公司立即与科罗拉多州医疗保健部以及密苏里州社会服务部开展了密切合作,以确定并尽量减轻MOVEit Transfer泄露的影响。据IBM的正式声明显示,公司为其受影响的客户推荐了MOVEit软件漏洞修复程序,并已停止使用MOVEit Transfer应用程序。
08Iron Bow Technologies
同样是受到MOVEit Transfer漏洞活动的影响,Iron Bow Technologies公司在Clop组织控制的暗网网站上也被列为受影响组织之一,并威胁将公开售卖从Iron Bow Technologies窃取的数据。起初,Iron Bow Technologies公司并不认为其数据没有受到MOVEit漏洞攻击的影响。然而,在向CRN网站提供的正式声明中,Iron Bow Technologies公司更新了相关情况说明。Iron Bow Technologies的首席信息安全官布拉德·吉斯表示:“在2023年的某个时间,我们调查发现一定数量的客户数据遭到未经授权的非法访问,公司立即采取行动,通知了适当的地方、州和联邦机构,以及供应商和客户。”
09普华永道
普华永道是全球知名的四大会计师事务所之一,该公司同时提供和IT和网络安全咨询相关服务。6月22日,公司正式宣布受到了MOVEit攻击的影响。普华永道证实,它也使用Progress Software公司的MOVEit产品,攻击对公司及其客户产生了一定程度的影响,但其自身的IT网络没有受到破坏。
在获悉这一事件后,普华永道立即采取了相关应急响应措施,并停止使用MOVEit。由于并未满足Clop的勒索要求,普华永道也成为第一个被Clop在其暗网网站上公开客户隐私数据的受害企业。
10安永
同样作为四大会计师事务所的安永公司,在6月12日接受BBC采访时表示,“经过安全团队的调查,公司确认也受到MOVEit攻击的影响。在安永正式提供给包括CRN在内的媒体声明中表示:我们正在全面调查可能受到访问的系统。我们将全力保障使用这种传输服务的系统和客户组织免受漏洞攻击活动的侵害。”安永公司同时表示,他们的首要任务是与受影响方、相关监管机构进行沟通,并将他们的调查工作持续推进。
参考链接:https://www.crn.com/news/security/hackers-hit-the-it-industry-12-companies-targeted-in-2023/1