Nell’ottobre 2024, Cisco ha subito un incidente di sicurezza significativo a causa di una configurazione errata del loro DevHub, che ha permesso di accedere e scaricare dati sensibili.

L’incidente è stato reso pubblico da IntelBroker su BreachForums il 15 di Ottobre scorso, dove è stato annunciato che una parte del breach era disponibile per il download.

Gli attaccanti, tra cui IntelBroker, @zjj e @EnergyWeaponUser hanno pubblicato nuovi dati, grazie ad un’istanza DevHub aperta di Cisco, scaricando 4.5TB di informazioni. I file coinvolti includevano software critici come:

• Cisco C9800-SW-iosxe-wlc.16.11.01
• Cisco IOS XE & XR
• Cisco ISE
• Cisco SASE
• Cisco Umbrella
• Cisco Webex

La dimensione totale dei file disponibili per il download era di 2.9GB, utilizzata come “preview” per attirare potenziali acquirenti per l’intero databreach.

Tattiche, Tecniche e Procedure (TTPs)

Gli attaccanti hanno utilizzato le seguenti tattiche per eseguire l’attacco:

• Sfruttamento di Configurazioni Errate: L’istanza DevHub di Cisco era pubblicamente accessibile senza adeguate misure di autenticazione e controllo degli accessi.

• Esfiltrazione di Dati: Una volta ottenuto l’accesso, gli attori hanno scaricato una vasta quantità di dati, inclusi software e configurazioni critiche.

Implicazioni per la Sicurezza nel Networking

Questo incidente mette in luce diverse vulnerabilità e lezioni importanti per il settore del networking, dimostrando che anche un colosso come Cisco può commettere degli errori.

Le configurazioni errate, ad esempio, possono esporre dati sensibili e sistemi critici. È essenziale implementare rigorosi controlli di accesso e autenticazione per tutte le risorse pubblicamente accessibili.

Condurre audit di sicurezza regolari e valutazioni di vulnerabilità può aiutare a identificare e correggere tempestivamente le esposizioni potenziali.

Le aziende dovrebbero inoltre avere piani di risposta agli incidenti ben definiti per mitigare rapidamente i danni e proteggere i dati dei clienti.

Azioni Correttive di Cisco

Cisco ha risposto all’incidente disabilitando l’accesso pubblico al DevHub e correggendo l’errore di configurazione. Hanno inoltre notificato i clienti interessati e offerto assistenza per la revisione dei file coinvolti. Cisco continua a valutare i file per identificare ulteriori dati sensibili e garantire la sicurezza delle loro risorse.

L’incidente di sicurezza su Cisco DevHub evidenzia l’importanza di una gestione rigorosa delle configurazioni e della sicurezza nel settore del networking. Le aziende devono adottare misure proattive per proteggere le loro risorse e rispondere efficacemente agli incidenti di sicurezza per salvaguardare i dati sensibili e mantenere la fiducia dei clienti.

L'articolo Nuovi dati di Cisco nelle Underground. IntelBroker e Soci pubblicano 4,5 TB proviene da il blog della sicurezza informatica.