Et forsyningskædeangreb førte til Cisco-kildekodetyveriet, efter at angribere kompromitterede et udbredt sikkerhedsværktøj. I stedet for at angribe Cisco direkte, bevægede de sig gennem en betroet komponent i virksomhedens udviklingspipeline. På den måde fik de adgang til interne systemer og udtrak følsom kode.
Hændelsen viser, hvordan moderne angreb fokuserer på indirekte indgangspunkter, hvor tillid bliver det svageste led.
Kompromitteret værktøj gav første adgang
Cisco-kildekodetyveriet begyndte med et brud relateret til sårbarhedsscanneren Trivy. Angribere indsatte skadelig kode i værktøjets distributionsproces og gjorde dermed et legitimt sikkerhedsprodukt til en angrebsvektor.
Da den kompromitterede version blev kørt i Ciscos miljø, indsamlede den loginoplysninger knyttet til CI/CD-processer. Disse oplysninger gjorde det muligt for angriberne at autentificere sig som legitime processer, hvilket hjalp dem med at undgå opdagelse i de tidlige faser.
Fordi aktiviteten fremstod normal, reagerede traditionelle sikkerhedskontroller ikke med det samme.
Angribere bevægede sig gennem interne systemer
Efter at have fået adgang udvidede angriberne deres rækkevidde i Ciscos udviklingsmiljø. De fik adgang til systemer knyttet til build pipelines, testmiljøer og cloudressourcer.
I denne fase:
- Brugte de stjålne loginoplysninger til at autentificere sig på tværs af tjenester
- Fik de adgang til interne udviklings- og testmiljøer
- Hentede de cloud-nøgler knyttet til kritisk infrastruktur
Cisco reagerede ved at tilbagekalde loginoplysninger og isolere berørte systemer. Alligevel havde angriberne allerede etableret adgang, før tiltagene trådte i kraft.
Storskala kodeeksfiltration bekræftet
Cisco-kildekodetyveriet omfattede en omfattende dataeksfiltration. Angriberne klonede hundredvis af interne repositories, herunder projekter under aktiv udvikling.
De stjålne data omfatter:
- Kildekode til interne værktøjer og tjenester
- AI-relaterede projekter og eksperimentelle funktioner
- Kode knyttet til endnu ikke lancerede funktioner
Nogle af de berørte repositories tilhørte også eksterne partnere, hvilket øger den potentielle påvirkning ud over Ciscos egne systemer.
Angrebet tyder på koordineret aktivitet
Efterforskere vurderer, at flere trusselsaktører deltog i angrebet. Forskelle i adgangsmønstre og adfærd tyder på, at flere grupper opererede i det kompromitterede miljø.
Dette øger risikoen for fortsat eksponering, da stjålne data eller adgang kan deles eller genbruges. Samtidig gør det håndteringen mere kompleks, fordi flere aktører kan udnytte den samme adgang på forskellige måder.
Risici i forsyningskæden vokser
Cisco-kildekodetyveriet viser, hvordan risikoen ved tredjepartsværktøjer fortsætter med at vokse. Udviklingsmiljøer er afhængige af automatiserede systemer og eksterne komponenter, hvilket skaber flere sårbare punkter.
Hændelsen viser, at:
- Betroede værktøjer kan blive angrebsvektorer
- Eksponerede loginoplysninger er en kritisk svaghed
- Forsyningskædeangreb kan ramme flere mål samtidig
Efterhånden som systemer bliver mere sammenkoblede, får angribere flere muligheder for at bevæge sig videre gennem betroede miljøer.
Konklusion
Cisco-kildekodetyveriet begyndte ikke med et direkte angreb på Ciscos forsvar. I stedet udnyttede angriberne et kompromitteret værktøj til at opnå betroet adgang.
Dette afspejler en tydelig ændring i trusselsbilledet. Angribere er ikke længere afhængige af klassiske sårbarheder, men retter sig mod de systemer og processer, som organisationer bruger hver dag. Uden stærkere kontrol med disse afhængigheder vil lignende hændelser fortsætte.
0 svar til “Cisco-kildekodetyveri knyttes til Trivy-forsyningskædeangreb”