Końcówka roku to nie tylko czas przecen i zakupów, ale także okres największego natężenia ataków hakerskich. Pecha w ostatnim czasie ma na pewno Cisco. Niedawno pisaliśmy o tym, że niezałatana od 10 lat podatność jest używana w atakach na urządzenia tego producenta. Teraz natomiast na tapet powraca sprawa z października, kiedy to znany haker ujawnił włamanie do środowiska Cisco DevHub. Właśnie zostały opublikowane dane z tego włamania.
IntelBroker, bo o tym hakerze piszemy, ogłosił, iż on i grupa innych osób włamali się do systemów Cisco i uzyskali kod źródłowy, certyfikaty, dane uwierzytelniające, poufne dokumenty, klucze szyfrujące oraz inne informacje. Haker twierdzi, iż uzyskał kod źródłowy powiązany z kilkoma dużymi firmami.
Śledztwo Cisco wykazało, iż systemy nie zostały naruszone, a dane pozyskano z publicznego środowiska DevHub, które służy jako centrum zasobów. Klienci mogą z niego uzyskać kod źródłowy, skrypty i inne treści.
Gigant sieciowy zauważył, iż chociaż większość danych hostowanych w środowisku DevHub była publiczna, hakerzy zdobyli również niektóre pliki, które nie były przeznaczone do publicznego pobrania i zostały opublikowane na stronie przypadkowo. Omyłkową publikację firma tłumaczy błędem konfiguracji. Jednocześnie Cisco przyznaje, iż pobrane dane obejmowały pliki związane z niektórymi klientami CX Professional Services.
Cisco początkowo twierdziło, iż nie ma dowodów na to, by poufne informacje, takie jak dane osobowe lub finansowe, zostały naruszone, ale po jakimś czasie usunęło to oświadczenie ze swoich raportów o incydentach.
W poniedziałek IntelBroker udostępnił 2,9 GB danych uzyskanych z instancji Cisco DevHub, twierdząc, iż pliki dotyczą produktów Cisco Catalyst, IOS, Identity Services Engine (ISE), Secure Access Service Edge (SASE), Umbrella i WebEx.
Dane, opublikowane na BreachForums, obejmują JavaScript, Python i inne pliki kodu źródłowego, a także pliki certyfikatów i bibliotek.
Haker podaje obecnie, iż pobrał 4,5 TB danych z instancji DevHub. Wcześniej, we wpisach informujących o włamie, IntelBroker twierdził, iż uzyskał łącznie 800 GB plików, a więc ilości znacznie się różniące, miemmniej wiadomo, iż pojawiające się w takich przypadkach liczby bywają wyolbrzymiane.
SecurityWeek zwróciło się w zeszłym miesiącu do Cisco z prośbą o wyjaśnienia dotyczące ilości skradzionych danych, ale firma nie odpowiedziała.
Ustosunkowała się natomiast bezpośrednio do wycieku IntelBroker, informując, iż wie o postach hakera i uważa, iż pliki, do których się on odwołuje, to te, które zostały wcześniej zidentyfikowane podczas dochodzenia.
„Jak zauważono w poprzednich aktualizacjach, jesteśmy przekonani, iż nie doszło do naruszenia naszych systemów i nie zidentyfikowaliśmy żadnych informacji w treści, których aktor mógłby użyć do uzyskania dostępu do któregokolwiek z naszych środowisk produkcyjnych lub korporacyjnych”.
O wpadkach Cisco pisaliśmy tutaj.