En leverantörskedjeattack låg bakom Cisco-källkodsstölden efter att angripare komprometterade ett brett använt säkerhetsverktyg. I stället för att angripa Cisco direkt tog de sig in via en betrodd komponent i företagets utvecklingspipeline. På så sätt fick de tillgång till interna system och kunde extrahera känslig kod.
Händelsen visar hur moderna attacker riktar in sig på indirekta ingångspunkter, där förtroende snabbt blir den svagaste länken.
Komprometterat verktyg gav initial åtkomst
Cisco-källkodsstölden började med ett intrång kopplat till sårbarhetsskannern Trivy. Angripare injicerade skadlig kod i verktygets distributionsprocess och förvandlade därmed en legitim säkerhetsprodukt till en attackvektor.
När den komprometterade versionen kördes i Ciscos miljö samlade den in inloggningsuppgifter kopplade till CI/CD-flöden. Dessa uppgifter gjorde det möjligt för angriparna att autentisera sig som legitima processer, vilket hjälpte dem att undvika upptäckt i de tidiga skedena.
Eftersom aktiviteten såg normal ut reagerade inte traditionella säkerhetskontroller direkt.
Angripare rörde sig vidare i interna system
Efter att ha fått åtkomst utökade angriparna sin närvaro i Ciscos utvecklingsmiljö. De tog sig in i system kopplade till byggpipelines, testmiljöer och molnresurser.
Under denna fas:
- Använde de stulna inloggningsuppgifter för att autentisera sig mellan tjänster
- Fick de åtkomst till interna utvecklings- och labbmiljöer
- Hämtade de molnnycklar kopplade till kritisk infrastruktur
Cisco svarade genom att återkalla inloggningsuppgifter och isolera drabbade system. Samtidigt hade angriparna redan etablerat åtkomst innan åtgärderna sattes in.
Storskalig kodexfiltration bekräftad
Cisco-källkodsstölden omfattade en omfattande datastöld. Angriparna klonade hundratals interna kodarkiv, inklusive projekt som fortfarande utvecklas aktivt.
Den stulna datan omfattar:
- Källkod för interna verktyg och tjänster
- AI-relaterade projekt och experimentella funktioner
- Kod kopplad till ännu ej lanserade funktioner
Dessutom rörde vissa kodarkiv externa samarbetspartners, vilket ökar den potentiella påverkan utanför Ciscos egna system.
Attacken visar samordnad aktivitet
Utredare bedömer att fler än en hotaktör deltog i attacken. Skillnader i beteende och åtkomstmönster tyder på att flera grupper rörde sig i samma komprometterade miljö.
Detta ökar risken för fortsatt exponering, eftersom stulen data eller åtkomst kan delas eller återanvändas. Samtidigt försvårar det responsen, eftersom flera aktörer kan utnyttja samma ingångspunkt på olika sätt.
Riskerna i leverantörskedjan ökar
Cisco-källkodsstölden visar hur riskerna kring tredjepartsverktyg fortsätter att växa. Utvecklingsmiljöer bygger i allt högre grad på automatiserade system och externa komponenter, vilket skapar fler svaga punkter.
Händelsen visar att:
- Betrodda verktyg kan bli attackvektorer
- Exponerade inloggningsuppgifter är en kritisk svaghet
- Leverantörskedjeattacker kan skala över flera mål
När systemen blir mer sammankopplade får angripare fler möjligheter att röra sig vidare genom betrodda miljöer.
Slutsats
Cisco-källkodsstölden började inte med ett direkt intrång i Ciscos försvar. I stället utnyttjade angriparna ett komprometterat verktyg för att få betrodd åtkomst.
Detta speglar en tydlig förändring i hotbilden. Angripare förlitar sig inte längre enbart på sårbarheter, utan riktar in sig på de system och processer som organisationer använder dagligen. Utan starkare kontroll över dessa beroenden kommer liknande incidenter att fortsätta uppstå.
0 svar till ”Cisco-källkodsstöld kopplas till Trivy-leverantörskedjeattack”