Tehdit aktörlerinin siteden bazı müşteri verilerini indirip bir siber suç forumunda satışa sunmasının ardından Cisco, DevHub ortamlarından birine kamu erişimini devre dışı bıraktı.
Ele geçirilen veriler arasında kaynak kodu, API belirteçleri, sabit kodlanmış kimlik bilgileri, sertifikalar ve Microsoft, Verizon, T-Mobile, AT&T, Barclays ve SAP gibi bazı büyük şirketlere ait diğer sırlar yer alıyordu.
Halka Açık Ortamlardan Veri Soygunu
İhlal haberi ilk olarak bir hafta önce araştırmacıların IntelBroker, EnergyWeaponUser ve zjj takma adlarını kullanan üç tehdit aktörünü tespit etmesi ve verileri BreachForums’da satışa sunmasıyla ortaya çıktı. IntelBroker, 2022’de faaliyetlerine başlayan ve aşağıdakiler de dahil olmak üzere çok sayıda büyük veri soygunuyla bağlantılı olduğu bilinen bir Sırp kuruluşudur: Europol, General Electric ve DARPA (Savunma İleri Araştırma Projeleri Ajansı).
Cisco, 15 Ekim’de olayı araştırdığını duyurdu. Üç gün sonra şirket, güvenlik olayını doğruladı. bir güncellemede Bu, saldırganların erişmeyi ve indirmeyi başardığı veri türü hakkında çok az ayrıntı sunuyordu.
Olaydan Cisco’nun kendi sistemleri etkilenmemiş görünüyor. Cisco’nun danışma belgesinde, “Söz konusu verilerin, halka açık bir DevHub ortamında (müşterilerin ihtiyaç duydukça kullanması için yazılım kodu, komut dosyaları vb. sunarak topluluğumuzu desteklememizi sağlayan bir Cisco kaynak merkezi) üzerinde olduğunu belirledik” ifadesine yer verildi. . “Araştırmamızın bu aşamasında, herkese açık olarak indirilmesine izin verilmeyen az sayıda dosyanın yayınlanmış olabileceğini belirledik.”
Şirket, şu anda saldırganların herhangi bir kişisel kimlik verisine veya finansal bilgiye yasadışı bir şekilde eriştiğine dair bir kanıt bulunmadığını ancak bu olasılığın hâlâ araştırıldığını da sözlerine ekledi. Şirket, “Çok dikkatli davranarak, soruşturmayı sürdürürken siteye halkın erişimini devre dışı bıraktık” dedi.
BreachForums gönderilerinde tehdit aktörleri, Cisco’nun DevHub sitesinden indirdikleri verilerin GitHub ve GitLab projeleri, kaynak kodu, Jira biletleri, konteyner görüntüleri, AWS depolama paketlerinden veriler ve en azından bazı gizli Cisco bilgilerini içerdiğini iddia etti.
Hatırlatma: Halka Açık Varlıkların Güvenliğini Sağlama İhtiyacı
Sectigo’nun kıdemli araştırmacısı Jason Soroko, Cisco olayının, kuruluşların halka açık ortamları enjeksiyon saldırılarına karşı koruma sağlamak için giriş doğrulama, güçlü kimlik doğrulama araçları ve süreçleri ve düzenli güvenlik açığı değerlendirmeleri gibi önlemlerle neden korumaları gerektiğini hatırlattığını söylüyor.
Kuruluşların kamuya açık varlıklarını güvence altına almak konusunda yaptığı yaygın hatalar arasında OWASP kurallarını ihmal etmek, güvenlik risklerini hafife almak, sistemleri düzenli olarak güncellememek ve güvenli kodlama uygulamalarına öncelik vermemek yer alıyor, Soroko şöyle diyor: “Web sitenizin kodunu yedeklemeyi unutmayın ve onu geri yükleme konusunda pratik yapın. Düzenli olarak taramayı kolaylaştıran kötü amaçlı yazılım tespit araçları mevcuttur.”
Kuruluşların bazen halka açık varlıklarını daha az kritik olarak algılama eğiliminde olabildiklerini, ancak gerçekte saldırganların gelecekteki izinsiz girişler için kullanabileceği hassas bilgileri açığa çıkarabildiklerini ekliyor. Örneğin, saldırganların Cisco olayında elde ettiği veriler arasında, saldırganların gelecekteki bir kampanyada potansiyel olarak önemli bir şekilde kullanabileceği kaynak kodu, API belirteçleri, sertifikalar ve kimlik bilgileri yer alıyordu.
Salt Security’nin siber güvenlik stratejisi direktörü Eric Schwake, hassas verilerin bir kuruluşun halka açık ortamlarına girmesine çeşitli faktörlerin katkıda bulunduğunu söylüyor. “Bu, erişim kontrollerinin yanlışlıkla yanlış yapılandırılması, kod veya dosya yönetimindeki insan hataları, dağıtımdan önce yetersiz güvenlik testi veya üçüncü taraf hizmetlerinin tehlikeye girmesi nedeniyle meydana gelebilir” diyor. Bu gözetimler, hassas verilerin açığa çıkmasına neden olabilir ve saldırganlar için potansiyel giriş noktaları oluşturabilir.
Schwake, kuruluşların bu riski azaltmak için çok katmanlı bir güvenlik stratejisi uygulamasını tavsiye ediyor. “Bu, sıkı erişim kontrollerinin uygulanmasını, güvenli kodlama uygulamalarının teşvik edilmesini, kapsamlı güvenlik testlerinin yapılmasını, duruş yönetim standartlarının oluşturulmasını ve düzenli güvenlik değerlendirmelerinin gerçekleştirilmesini içerir” diyor. “Sır yönetimi çözümlerini ve sürekli izleme araçlarını kullanmak, güvenliği daha da artırabilir ve hassas bilgilere yetkisiz erişime karşı koruma sağlayabilir.”