10月20日,統一身份安全服務提供商Okta披露了一個安全漏洞,涉及未經授權訪問其客戶支持系統。當黑客利用被盜的憑證滲透Okta管理系統時,就可以在該系統中查看某些客戶上傳的文件,并將其用來冒充有效用戶。而在稍早之前,思科公司也對外發布安全警告,由于其IOS XE軟件中的一個高危級漏洞,嚴重影響了其暴露在互聯網上的4萬臺網絡設備運營安全性。
以上不斷發生的IT公司安全性事件也表明了,IT行業正在成為網絡攻擊的重災區,這也引起了網絡安全行業的擔憂。一方面,IT類企業往往會擁有大量的合作伙伴和產品用戶,其安全事件的影響范圍會非常廣泛;另一方面,針對IT企業的網絡攻擊也會打擊更多傳統企業安全團隊的信心,“連那些以科技產品和服務(包括網絡安全)為主業的企業都無法免受網絡攻擊威脅,那我們該怎么辦?”
為了充分了解網絡攻擊對IT行業的影響和特點,安全網站CRN日前盤點了在2023年遭到攻擊的10家知名的IT公司,并對相關攻擊情況進行了分析。
01Okta
在2023年10月20日,BleepingComputer發布了一篇題為“Okta 表示,其支持系統因憑據被盜而遭到破壞”的文章。該文章一經發布,引起了大量討論。據報道,國際身份軟件巨頭Okta的客戶支持系統遭到黑客攻擊,導致客戶上傳的Cookie和會話令牌等敏感數據泄露,并侵入了客戶網絡。這導致Okta股票在上周五收盤時下跌了11%。
Okta首席安全官David Bradbury表示:“威脅行為者能夠查看近期支持案例中某些Okta客戶上傳的文件。”目前,Okta尚未提供此次入侵泄露或訪問的受影響客戶信息。不過,此次攻擊中被入侵的支持案例管理系統也存儲了HTTP存檔(HAR)文件,這些文件用于復制用戶或管理員錯誤,從而排除用戶報告的各種問題。這些文件還包含敏感數據,例如Cookie和會話令牌。威脅行為者可能會使用這些數據來劫持客戶賬戶。
02思科
10月16日,安全人員發現了一個嚴重的IOS XE漏洞,導致了近42000臺思科設備面臨攻擊危險。安全專家表示,針對思科IOS XE用戶的持續攻擊或將是有史以來最廣泛的邊緣攻擊之一。
思科公司在其發布的正式安全公告中表示,IOS XE的零日漏洞已被攻擊者大肆利用。特權升級漏洞被思科公司評估為其公司的最高嚴重等級:10.0。思科的Talos威脅情報團隊表示,惡意攻擊者通過利用這個漏洞,就可以全面控制被攻擊的設備。
目前,眾多思科公司網絡設備都使用了IOS XE網絡軟件平臺,而其中許多設備通常部署在邊緣環境中,這包括分支路由器、工業路由器和聚合路由器,以及Catalyst 9100接入點和物聯網就緒的Catalyst 9800無線控制器。
03CDW Corporation
CDW Corporation是一家全球500強企業,為北美地區的政府和企業客戶提供全面的信息技術解決方案。10月12日,CDW公司證實,它正在就一起網絡安全勒索攻擊事件開展調查,此前勒索犯罪團伙LockBit聲稱竊取了該公司的業務數據,并要求CDW支付8000萬美元的贖金,這是迄今為止該勒索攻擊組織提出的最高贖金要求。
在后續的談判中,由于CDW公司僅愿意支付8000萬美元贖金要求中的110萬美元。因此,LockBit在其常用的暗網泄露網站表示,屬于CDW的所有可用數據已被公布,并提供了一個可下載94.7 GB歸檔數據的鏈接。
04ScanSource
2023年5月中旬,全球領先的IT和電信分銷商ScanSource對外宣布,公司成為勒索軟件攻擊的受害者。這起攻擊在5月14日被ScanSource公司的安全運營團隊發現,對公司業務系統的影響持續了近兩周,導致包括其大部分網站系統在內的業務系統癱瘓,從而影響了其遍布全球各地的客戶和供應商。
盡管ScanSource公司在發現攻擊后,立即開始了事件調查,同時還實施了事件響應計劃,但這次攻擊仍然嚴重影響了該公司的多個軟、硬件產品分銷核心系統。
053CX
2023年3月,通信軟件開發商3CX發生了嚴重的軟件供應鏈安全事件。盡管3CX公司表示,這起攻擊事件在發生后的幾周內就被發現,因而該事件給公司及其客戶帶來的影響有限。但是,該事件還是引起了人們的極大擔憂,因為其產品被廣泛使用,目前客戶總數已經超過60萬家,通過其25000個合作伙伴進行銷售。
網絡安全公司Mandiant對該事件進行了調查,研究人員認為3CX攻擊活動是由早期的供應鏈攻擊導致的。研究人員透露,在之前的攻擊中,攻擊者篡改了金融軟件公司Trading Technologies分發的一個軟件包。這是Mandiant首次發現一起軟件供應鏈攻擊導致另一起軟件供應鏈攻擊。
06Cognizant
Cognizant是一家全球性的IT解決方案提供商,在今年的6月27日,該公司因為其使用的MOVEit 產品中存在嚴重漏洞而攻擊而遭受了勒索軟件攻擊,并且登上了Clop組織發布的被勒索企業名單中。Clop組織隨后聲稱,已在其專屬的暗網網站上,發布了其竊取的Cognizant公司數據,隨后還將這些數據作為種子下載提供,這些數據主要涉及Cognizant員工的數據,包括公司信用卡和個人數據等。目前,Cognizant公司還一直沒有官方回復該起勒索攻擊傳言。其實早在2020年,Cognizant公司就成為迷宮勒索軟件活動的主要受害者之一。該公司當時表示,預計將花費高達7000萬美元來修復攻擊造成的損失。
07IBM
今年6月,IBM公司同樣因為使用了MOVEit相關產品,導致美國科羅拉多州和密蘇里州的多家政府機構客戶信息被非法訪問。IBM公司表示,MOVEit Transfer 是一款數據傳輸程序,并非IBM自研,而是由Progress Software公司開發,IBM會將該工具作為客戶提供服務的一部分。
通過利用MOVEit Transfer漏洞,未經授權的攻擊者可能已訪問的用戶個人信息包括:姓名、社會保障號、醫療補助識別(ID)號碼、醫療保險ID號碼、出生日期、家庭住址及聯系方式、人口統計或收入信息、臨床及醫療信息(比如診斷、病情、化驗結果、藥物或其他治療信息)以及健康保險信息。
事件發生后,IBM公司立即與科羅拉多州醫療保健部以及密蘇里州社會服務部開展了密切合作,以確定并盡量減輕MOVEit Transfer泄露的影響。據IBM的正式聲明顯示,公司為其受影響的客戶推薦了MOVEit軟件漏洞修復程序,并已停止使用MOVEit Transfer應用程序。
08Iron Bow Technologies
同樣是受到MOVEit Transfer漏洞活動的影響,Iron Bow Technologies公司在Clop組織控制的暗網網站上也被列為受影響組織之一,并威脅將公開售賣從Iron Bow Technologies竊取的數據。起初,Iron Bow Technologies公司并不認為其數據沒有受到MOVEit漏洞攻擊的影響。然而,在向CRN網站提供的正式聲明中,Iron Bow Technologies公司更新了相關情況說明。Iron Bow Technologies的首席信息安全官布拉德·吉斯表示:“在2023年的某個時間,我們調查發現一定數量的客戶數據遭到未經授權的非法訪問,公司立即采取行動,通知了適當的地方、州和聯邦機構,以及供應商和客戶。”
09普華永道
普華永道是全球知名的四大會計師事務所之一,該公司同時提供和IT和網絡安全咨詢相關服務。6月22日,公司正式宣布受到了MOVEit攻擊的影響。普華永道證實,它也使用Progress Software公司的MOVEit產品,攻擊對公司及其客戶產生了一定程度的影響,但其自身的IT網絡沒有受到破壞。
在獲悉這一事件后,普華永道立即采取了相關應急響應措施,并停止使用MOVEit。由于并未滿足Clop的勒索要求,普華永道也成為第一個被Clop在其暗網網站上公開客戶隱私數據的受害企業。
10安永
同樣作為四大會計師事務所的安永公司,在6月12日接受BBC采訪時表示,“經過安全團隊的調查,公司確認也受到MOVEit攻擊的影響。在安永正式提供給包括CRN在內的媒體聲明中表示:我們正在全面調查可能受到訪問的系統。我們將全力保障使用這種傳輸服務的系統和客戶組織免受漏洞攻擊活動的侵害。”安永公司同時表示,他們的首要任務是與受影響方、相關監管機構進行溝通,并將他們的調查工作持續推進。
參考鏈接:https://www.crn.com/news/security/hackers-hit-the-it-industry-12-companies-targeted-in-2023/1
