Sicherheitsvorfall beim MFA-Code-Provider fĂĽr Ciscos Sicherheitsplattform Duo
Angreifer hatten Zugriff auf Kundendaten von Cisco Duo. Die Daten leakten bei einem Provider von Multi-Faktor-Authentifizierungscodes.
Um Ciscos Zero-Trust-Sicherheitsplattform Duo vor unbefugten Zugriffen zu schützen, wird eine Multi-Faktor-Authentifizierung (MFA) eingesetzt. Zur Anmeldung benötigt man neben einem Passwort noch einen MFA-Code, der in diesem Fall via SMS oder VoIP-Anruf zu Nutzern kommt. Nun hat Cisco einen IT-Sicherheitsvorfall beim Provider, der die Codes verschickt, offengelegt.
Die Attacke
In einem Beitrag zum Vorfall taucht der Name des Providers nicht auf. Der Provider gibt an, dass sich unbekannte Angreifer am 1. April 2024 Zugang zu internen Systemen verschafft haben. DafĂĽr sollen sie im Vorfeld ĂĽber eine Phishing-Attacke Zugangsdaten eines Mitarbeiters erbeutet haben.
Im Zuge der Attacke sollen die Angreifer Zugriff auf SMS-Logdateien im Zeitraum vom 1. März bis 31. März 2024 verschickten SMS-Nachrichten gehabt haben. Der Inhalt von Nachrichten, also die MFA-Codes, sollen dabei aber nicht einsehbar gewesen sein, führt Cisco aus. Die Logdateien enthalten aber persönliche Daten, wie Telefonnummern von Kunden.
Der Provider versichert, dass die Angreifer im Zuge der Attacke keine Nachrichten an Cisco-Kunden über ihre internen Systeme verschicken konnten. Cisco liegen die Logdateien vor und sie geben an, betroffene Kunden bereits kontaktiert zu haben. In der Nachricht warnt der Netzwerkausrüster die betroffenen Duo-Nutzer vor möglichen Phishing-Attacken und betrügerischen Anrufen. Wie viele Kunden konkret betroffen sind, ist derzeit nicht bekannt.
Nicht der erste Fall
IT-Attacken auf Dienstleister von Identitäts- und Zugriffsmanagementsystemen können weitreichende Folgen haben. Bekommen Angreifer in so einem Fall Zugriff auf interne Daten, ist nicht nur der Dienstleister, sondern sind oft auch all seine Kunden davon betroffen.
Ende 2023 sorgte eine erfolgreiche Attacke auf Okta fĂĽr Schlagzeilen. Dabei hatten Angreifer Zugriff auf sensible Kundendaten und daraus resultierte etwa eine Folgeattacke auf den Onlinedienst fĂĽr Passwortmanagement 1Password.
(des)