یک نقص امنیتی جدی در شبکه داخلی شرکت Cisco منجر به افشای اطلاعات حساس، از جمله اعتبارنامههای کاربران و زیرساختهای دامنه این شرکت شده است.
طبق گزارش Cyber Press Research، گروه باجافزار Kraken دادههای سرقتشده را در وبلاگ دارک وب خود منتشر کرده است. این دادهها شامل هشهای رمز عبور کاربران ویندوز از محیط Active Directory است که احتمالاً از طریق ابزارهای استخراج اعتبارنامه (Credential Dumping) مانند Mimikatz، pwdump یا hashdump به دست آمده است.
جزئیات اطلاعات افشاشده
🔹 دادههای فاششده شامل موارد زیر است:
- حسابهای کاربران دامنه (Domain User Accounts)
- شناسههای کاربری (Relative Identifiers – RIDs)
- هشهای رمز عبور NTLM
🔹 حسابهای لو رفته شامل:
- حسابهای ادمین با دسترسی بالا (مانند
Administrator:500) - حسابهای کاربران عادی (مانند
cisco.com\carriep) - حسابهای سیستمی مرتبط با کنترلکنندههای دامنه (DC) (مانند
ADC-SYD-P-1$،ADC-RTP-P-2$) - حساب krbtgt که میتواند برای جعل توکنهای احراز هویت Kerberos استفاده شود
📌 فرمت دادههای فاششده نشان میدهد که این اطلاعات از طریق تکنیکهای Credential Dumping استخراج شدهاند.
🔹 هر ورودی شامل:
✅ نام کاربری و دامنه – هویت کاربر در دامنه Active Directory
✅ RID (شناسه نسبی) – شناسه منحصربهفرد هر کاربر
✅ LM Hash – معمولاً غیرفعال است و مقدار ثابت aad3b435b51404eeaad3b435b51404ee را دارد
✅ NTLM Hash – نسخه هششده رمز عبور که ممکن است از طریق حملات دیکشنری یا بروتفورس شکسته شود
🚨 خطر افشای هشهای NTLM
🔹 مهاجمان میتوانند این هشها را رمزگشایی کرده و به سیستمهای Cisco دسترسی غیرمجاز پیدا کنند.
🔹 اگر حسابهای با سطح دسترسی بالا افشا شوند، مهاجمان میتوانند امتیازات خود را افزایش داده و شبکه داخلی Cisco را کنترل کنند.
🔹 استفاده از تکنیکهای Kerberoasting و Pass-the-Hash برای گسترش دسترسی در شبکه امکانپذیر است.
🔹 امکان اجرای حملات Golden Ticket و Silver Ticket وجود دارد که میتواند به سرقت دادههای حیاتی منجر شود.
نشانههای حضور عامل تهدید در شبکه Cisco
📌 مهاجمان در کنار افشای دادهها، یک پیام تهدیدآمیز منتشر کردهاند که نشان میدهد ممکن است مدت زیادی در شبکه Cisco حضور داشته باشند.
📌 این پیام احتمال بازگشت آنها را نشان میدهد، که میتواند بیانگر فعالیت یک گروه جرایم سایبری سازمانیافته یا حتی یک تهدید دولتی (Nation-State Actor) باشد.
اقدامات امنیتی توصیهشده
✅ بازنشانی فوری رمزهای عبور کاربران و حسابهای سیستمی آسیبدیده
✅ غیرفعالسازی NTLM Authentication در صورت امکان برای کاهش خطرات سوءاستفاده از اعتبارنامهها
✅ استفاده از احراز هویت چندمرحلهای (MFA) برای جلوگیری از سوءاستفاده از حسابهای لو رفته
✅ بررسی دقیق لاگهای دسترسی برای شناسایی فعالیتهای غیرمجاز و تلاشهای افزایش دسترسی
✅ تقویت نظارت امنیتی برای شناسایی حملات احتمالی آینده
جمعبندی
🚨 این نقض امنیتی نشاندهنده افزایش تهدیدات مبتنی بر سرقت اعتبارنامهها (Credential-Based Attacks) و اهمیت اجرای تدابیر امنیتی قوی است.
🚨 سازمانها باید از سیاستهای احراز هویت قوی، نظارت مستمر بر شبکه، و بهروزرسانی سریع در برابر تهدیدات امنیتی استفاده کنند.
با ادامه تحقیقات، تیمهای امنیت سایبری تأکید میکنند که واکنش سریع به حادثه (Incident Response) نقش کلیدی در جلوگیری از آسیبهای بیشتر و حفاظت از اطلاعات حساس دارد.
یک نظر