Ein Lieferkettenangriff führte zum Cisco-Quellcode-Diebstahl, nachdem Angreifer ein weit verbreitetes Sicherheitstool kompromittierten. Statt Cisco direkt anzugreifen, bewegten sie sich über eine vertrauenswürdige Komponente innerhalb der Entwicklungs-Pipeline des Unternehmens. Auf diese Weise erhielten sie Zugriff auf interne Systeme und konnten sensiblen Code extrahieren.
Der Vorfall zeigt, wie moderne Angriffe gezielt indirekte Einstiegspunkte nutzen, bei denen Vertrauen zur größten Schwachstelle wird.
Kompromittiertes Tool ermöglichte ersten Zugriff
Der Cisco-Quellcode-Diebstahl begann mit einem Vorfall rund um den Schwachstellenscanner Trivy. Angreifer schleusten Schadcode in den Distributionsprozess des Tools ein und verwandelten so ein legitimes Sicherheitsprodukt in einen Angriffsvektor.
Als die kompromittierte Version in Ciscos Umgebung ausgeführt wurde, sammelte sie Zugangsdaten aus CI/CD-Prozessen. Diese Daten ermöglichten es den Angreifern, sich als legitime Prozesse zu authentifizieren, wodurch sie in den frühen Phasen unentdeckt blieben.
Da die Aktivitäten wie normaler Betrieb wirkten, schlugen klassische Sicherheitsmechanismen zunächst nicht an.
Angreifer bewegten sich durch interne Systeme
Nach dem initialen Zugriff erweiterten die Angreifer ihre Reichweite innerhalb der Entwicklungsumgebung von Cisco. Sie griffen auf Systeme zu, die mit Build-Pipelines, Testumgebungen und Cloud-Ressourcen verbunden sind.
In dieser Phase:
- Nutzten sie gestohlene Zugangsdaten zur Authentifizierung über verschiedene Dienste hinweg
- Erlangten sie Zugriff auf interne Entwicklungs- und Laborumgebungen
- Extrahierten sie Cloud-Schlüssel, die mit kritischer Infrastruktur verbunden sind
Cisco reagierte, indem es Zugangsdaten zurücksetzte und betroffene Systeme isolierte. Dennoch hatten die Angreifer bereits Zugriff etabliert, bevor Gegenmaßnahmen eingeleitet wurden.
Umfangreiche Code-Exfiltration bestätigt
Der Cisco-Quellcode-Diebstahl umfasste eine groß angelegte Datenexfiltration. Die Angreifer klonten Hunderte interner Repositories, darunter auch Projekte, die sich noch in aktiver Entwicklung befinden.
Die gestohlenen Daten umfassen:
- Quellcode interner Tools und Dienste
- KI-bezogene Projekte und experimentelle Funktionen
- Code im Zusammenhang mit noch nicht veröffentlichten Features
Einige der betroffenen Repositories standen zudem in Verbindung mit externen Partnern, was die potenziellen Auswirkungen über Ciscos eigene Systeme hinaus erweitert.
Angriff deutet auf koordinierte Aktivitäten hin
Ermittler gehen davon aus, dass mehrere Bedrohungsakteure an dem Angriff beteiligt waren. Unterschiedliche Zugriffs- und Verhaltensmuster deuten darauf hin, dass mehrere Gruppen innerhalb der kompromittierten Umgebung aktiv waren.
Dies erhöht das Risiko weiterer Exposition, da gestohlene Daten oder Zugänge geteilt oder erneut verwendet werden könnten. Gleichzeitig erschwert es die Reaktion, da mehrere Akteure denselben Einstiegspunkt unterschiedlich ausnutzen können.
Risiken in der Lieferkette nehmen zu
Der Cisco-Quellcode-Diebstahl verdeutlicht die wachsenden Risiken im Zusammenhang mit Drittanbieter-Tools. Entwicklungsumgebungen sind zunehmend auf automatisierte Systeme und externe Komponenten angewiesen, wodurch mehrere potenzielle Schwachstellen entstehen.
Der Vorfall zeigt, dass:
- Vertrauenswürdige Tools zu Angriffsvektoren werden können
- Kompromittierte Zugangsdaten eine zentrale Schwachstelle darstellen
- Lieferkettenangriffe mehrere Ziele gleichzeitig betreffen können
Je stärker Systeme miteinander vernetzt sind, desto mehr Möglichkeiten haben Angreifer, sich innerhalb vertrauenswürdiger Umgebungen lateral zu bewegen.
Fazit
Der Cisco-Quellcode-Diebstahl begann nicht mit einem direkten Angriff auf Ciscos Verteidigungsmechanismen. Stattdessen nutzten die Angreifer ein kompromittiertes Tool, um sich vertrauenswürdigen Zugriff zu verschaffen.
Dies spiegelt einen klaren Wandel in der Bedrohungslandschaft wider. Angreifer verlassen sich nicht mehr nur auf klassische Schwachstellen, sondern zielen gezielt auf die Systeme und Prozesse ab, auf die Unternehmen im Alltag angewiesen sind. Ohne strengere Kontrollen dieser Abhängigkeiten werden ähnliche Vorfälle weiterhin auftreten.
0 Kommentare zu „Cisco-kildekodetyveri knyttes til Trivy-forsyningskædeangreb“