思科已禁止公众访问其 DevHub 环境之一,因为威胁行为者从该网站下载了一些客户数据,并在一个网络犯罪论坛上出售。
被泄露的数据包括源代码、API 标记、硬编码凭证、证书和其他属于一些大公司的机密,包括微软、Verizon、T-Mobile、AT&T、巴克莱银行和 SAP。
面向公众环境的数据盗窃
一周前,当研究人员发现三个使用 IntelBroker、EnergyWeaponUser 和 zjj 的威胁行为者在 BreachForums 上出售数据时,泄露的消息首次浮出水面。IntelBroker 是一个已知的塞尔维亚实体,于 2022 年开始运营,与几起重大数据盗窃案有关,其中包括欧洲刑警组织、通用电气和 DARPA(美国国防部高级研究计划局)的数据盗窃案。
思科公司于 10 月 15 日宣布正在调查这一事件。三天后,该公司在一次更新中确认了这起安全事件,但对攻击者设法访问和下载的数据种类没有提供多少细节。
思科公司自己的系统似乎没有受到此次事件的影响。“思科的公告指出:”我们已经确定,相关数据位于面向公众的 DevHub 环境中,这是思科的一个资源中心,通过提供软件代码、脚本等供客户根据需要使用,为我们的社区提供支持。“在现阶段的调查中,我们已经确定可能发布了少量未授权公开下载的文件”。
该公司表示,目前没有证据表明攻击者非法访问了任何个人身份数据或财务信息,但它补充说,它仍在调查这种可能性。“该公司表示:”出于谨慎起见,在继续调查的同时,我们已禁止公众访问该网站。
在他们的 BreachForums 帖子中,威胁者声称他们从思科 DevHub 站点下载的数据包括 GitHub 和 GitLab 项目、源代码、Jira 票据、容器镜像、AWS 存储桶中的数据,以及至少一些机密的思科信息。
提醒: 确保面向公众资产安全的必要性
Sectigo 高级研究员 Jason Soroko 说:”思科事件提醒我们,为什么企业需要采取输入验证等措施保护面向公众的环境,以防止注入攻击、强大的身份验证工具和流程,以及定期进行漏洞评估。
Soroko说:”在确保面向公众的资产安全方面,企业常犯的错误包括忽视OWASP指南、低估安全风险、没有定期更新系统以及没有优先考虑安全编码实践。恶意软件检测工具可以方便地进行定期扫描。
他补充说,企业有时会倾向于认为面向公众的资产不那么重要,而实际上,这些资产可能会暴露敏感信息,攻击者可能会利用这些信息进行未来的入侵。例如,攻击者在思科事件中获得的数据包括源代码、API 标记、证书和凭证,攻击者有可能在未来的活动中大量利用这些数据。
Salt Security 公司网络安全战略总监埃里克-施瓦克(Eric Schwake)说,导致敏感数据最终出现在企业面向公众的环境中的因素有很多。“他说:”这可能是由于访问控制的意外错误配置、代码或文件管理中的人为错误、部署前的安全测试不充分或第三方服务受到损害。这些疏忽可能会导致敏感数据的暴露,并为攻击者创造潜在的切入点。
Schwake 建议企业实施多层次的安全策略来降低这种风险。他说:“这包括实施严格的访问控制、推广安全编码实践、进行彻底的安全测试、建立态势治理标准以及定期进行安全评估。使用保密管理解决方案和持续监控工具可以进一步提高安全性,防止未经授权访问敏感信息。”
发表评论
您还未登录,请先登录。
登录