Ünlü hacker IntelBroker, Cisco’nun DevHub ortamından çalındığı iddia edilen 2,9 GB veriyi sızdırdı. 16 Aralık 2024’te açıklanan bu kısmi sızıntı, tahmini 4,5 TB veriyi kapsayan daha geniş bir ihlalin parçası.
İhlal, dünyanın önde gelen ağ ve BT şirketlerinden birinin güvenlik uygulamaları hakkında ciddi endişelere yol açtı.
İhlal, IntelBroker’ın uygun güvenlik önlemleri olmadan açığa çıktığını iddia ettiği Cisco’nun halka açık DevHub portalından kaynaklandı.
Cyber Press araştırmacıları, grup tarafından sağlanan ilk örneklerin, indirmenin esas olarak temel Cisco yazılım ürünlerini hedef aldığını ve ele geçirilen arşivde toplam 2,9 GB dosya boyutunun bulunduğunu keşfetti.
Bilgisayar korsanlarının, “@zjj” ve “@EnergyWeaponUser” olarak tanımlanan işbirlikçilerinin yanı sıra, açığa çıkan bir API jetonunu kullanarak hassas kaynaklara erişim elde ettikleri bildirildi. Çalınan veriler şunları içerir:
- GitHub, GitLab ve SonarQube projelerinden kaynak kodu.
- Sabit kodlanmış kimlik bilgileri, sertifikalar ve API belirteçleri.
- Gizli Cisco belgeleri, Jira biletleri ve Docker derlemeleri.
- AWS ve Azure depolama paketleri.
- Özel ve genel şifreleme anahtarları, SSL sertifikaları ve Cisco premium ürünleri.
IntelBroker, ihlali ilk olarak Ekim 2024’te karanlık bir web platformu olan BreachForums’ta duyurdu. İddialarını doğrulamak ve kalan veri kümesi için alıcıları çekmek amacıyla bilgisayar korsanı, Cisco IOS XE & XR, Cisco ISE, Cisco Umbrella, Cisco Webex ve diğer teknolojilerle ilgili dosyaları içeren bu kısmi sızıntıyı yayınladı.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
İhlal, Cisco’nun dahili operasyonlarının ötesine uzanıyor. IntelBroker, Verizon, AT&T, Microsoft, Bank of America, Barclays, Vodafone, Chevron ve diğerleri gibi yüksek profilli şirketlerle bağlantılı verilerin ele geçirildiğini iddia ediyor.
Çalınan bilgilerin üretim kaynak kodlarını ve müşteri Güvenli Uzaktan Bağlantılarını (SRC’ler) içerdiği ve bu kuruluşlar için potansiyel risk oluşturduğu bildiriliyor.
Cisco’nun Yanıtı
Cisco olayı kabul etti ancak çekirdek sistemlerinin ihlal edilmediğini savunuyor. Şirket, bu durumu, geliştiricilerin yazılım kodu ve API’ler gibi kaynaklara erişmesi için tasarlanmış, yanlış yapılandırılmış bir DevHub ortamına bağlıyor.
Cisco, tedbir amaçlı olarak soruşturmayı sürdürürken DevHub’a genel erişimi devre dışı bıraktı.
Cisco yaptığı açıklamada şu ana kadar açığa çıkan dosyalar arasında herhangi bir hassas kişisel kimlik bilgisinin (PII) veya finansal verinin tespit edilmediğini vurguladı. Şirket, durumu daha ayrıntılı değerlendirmek için kolluk kuvvetleri ve siber güvenlik uzmanlarıyla iletişime geçti.
Bu ihlal, kamuya açık geliştirici ortamlarının güvenliğinin sağlanmasında devam eden güvenlik açıklarının altını çiziyor. Cisco, çekirdek altyapısının sağlam kaldığını iddia etse de kaynak kodlarının ve kimlik bilgilerinin açığa çıkması, müşterileri ve iş ortakları için geniş kapsamlı sonuçlar doğurabilir.
Siber güvenlik uzmanları, bu tür olayların, sağlam erişim kontrollerine ve halka açık sistemlerin sürekli izlenmesine duyulan ihtiyacı vurguladığı konusunda uyarıyor.
IntelBroker’ın eylemleri aynı zamanda, bilgisayar korsanlarının ihlalleri doğrulamak ve yeraltı pazarlarında çalınan bilgilere olan talebi artırmak için kısmi veri sızıntıları yayınladığı siber suçlardaki daha geniş bir eğilimi de yansıtıyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin