Cisco desconecta DevHub tras filtración de datos robados por hacker

Iniciado por Dragora, Octubre 20, 2024, 11:53:17 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



Cisco ha confirmado que desconectó su portal público DevHub tras la filtración de datos "no públicos" por parte de un actor de amenazas, aunque sigue afirmando que no hay evidencia de una violación directa en sus sistemas internos. Este incidente ha generado preocupación sobre la seguridad de los entornos de desarrollo externos y cómo los actores maliciosos pueden aprovechar vulnerabilidades para obtener acceso no autorizado.

Según el comunicado oficial de Cisco, el incidente involucró un número reducido de archivos que no estaban destinados a la descarga pública, pero que, debido a la exposición, pudieron haber sido accedidos. "Hemos determinado que los datos en cuestión se encuentran en un entorno DevHub de cara al público, un centro de recursos de Cisco que nos permite apoyar a nuestra comunidad poniendo a disposición código de software, scripts, etc. para que los clientes los utilicen según sea necesario", explicó Cisco en su declaración.

La compañía asegura que no se ha detectado ningún robo de información personal o datos financieros, aunque la investigación aún está en curso. A medida que continúan revisando qué archivos pudieron haber sido comprometidos, Cisco mantiene una postura cautelosa y busca fortalecer las medidas de seguridad en sus entornos de desarrollo.

El actor de amenazas: IntelBroker

El incidente comenzó cuando un actor de amenazas conocido como IntelBroker afirmó haber violado el entorno de desarrollo de Cisco. IntelBroker intentó vender lo que describió como datos robados y código fuente de la compañía. En una entrevista con BleepingComputer, IntelBroker afirmó haber accedido al entorno de desarrollo de Cisco a través de un token API expuesto, lo que le permitió entrar en sistemas que deberían haber estado protegidos.

Este ataque, que afectó principalmente al entorno de desarrollo y no a los sistemas centrales de Cisco, demuestra cómo los entornos de desarrollo a menudo son objetivos menos protegidos y pueden ser explotados por ciberdelincuentes. Durante el proceso de investigación, Cisco fue lenta en reconocer el incidente públicamente, lo que llevó a IntelBroker a compartir capturas de pantalla y archivos con BleepingComputer para demostrar su acceso.

Datos comprometidos y evidencias presentadas

Los datos comprometidos incluían código fuente, archivos de configuración que contenían credenciales de bases de datos, documentación técnica y archivos SQL. Aunque estos datos no contienen información directamente relacionada con los clientes de Cisco, es preocupante que archivos críticos para el desarrollo interno hayan sido expuestos.

BleepingComputer compartió esta información con Cisco, incluyendo capturas de pantalla que mostraban que IntelBroker tenía acceso a la mayoría, si no a todos, los datos almacenados en el portal DevHub. Sin embargo, no está claro si estos datos incluían información confidencial de clientes, ya que el actor de amenazas no proporcionó pruebas adicionales sobre este aspecto.

IntelBroker también aseguró que tuvo acceso continuo a estos sistemas hasta que Cisco finalmente bloqueó todo acceso al portal y desconectó el entorno comprometido de JFrog, así como servidores asociados con Maven y Docker que también estaban relacionados con el portal DevHub. Sin embargo, IntelBroker no ofreció pruebas adicionales que respaldaran esta afirmación.

Reacciones de Cisco y medidas tomadas

Cisco, por su parte, ha sido clara al señalar que no ha encontrado evidencia de una violación en sus sistemas internos, aunque el entorno de desarrollo de terceros parece haber sido comprometido. "No hay indicios de que se haya robado información personal o datos financieros", reiteró Cisco en su comunicado, aunque continúan investigando el alcance completo del incidente.

El incidente plantea preguntas sobre la seguridad en entornos de desarrollo externos y cómo las empresas pueden ser vulnerables si no implementan controles rigurosos. El uso de tokens API mal gestionados, como el que IntelBroker afirma haber explotado, es una de las principales vías que los atacantes cibernéticos utilizan para ganar acceso a sistemas que deberían estar más protegidos.

Este incidente subraya la importancia de la gestión de accesos y credenciales en los entornos de desarrollo. El acceso a través de un token API expuesto, como el que IntelBroker utilizó, resalta cómo la falta de medidas de seguridad adecuadas puede tener consecuencias graves. Las empresas deben adoptar enfoques proactivos para proteger no solo sus sistemas centrales, sino también sus entornos de desarrollo y plataformas externas.

Cisco sigue investigando la situación para determinar la extensión del acceso no autorizado y ha desconectado el portal DevHub como una medida preventiva. Los expertos en ciberseguridad continúan analizando las posibles ramificaciones del ataque, y Cisco ha sido instada a revisar sus políticas de seguridad para evitar incidentes similares en el futuro.

Finalmente, aunque el actor de amenazas, IntelBroker, afirmó que no intentó extorsionar a Cisco, su decisión de filtrar los datos públicamente después de que la empresa no reconoció el incidente, resalta la presión a la que se enfrentan las compañías cuando se trata de violaciones de seguridad. "No confiaría en un actor de amenazas si me pidiera dinero para no filtrar mis cosas, así que tampoco deberían hacerlo", comentó IntelBroker, destacando la complejidad ética y práctica detrás de estos tipos de incidentes.

En conclusión, el incidente con Cisco DevHub pone en relieve la necesidad de reforzar las medidas de seguridad informática en todos los niveles, especialmente en entornos de desarrollo, para prevenir futuras filtraciones de datos que puedan poner en riesgo la integridad de la información.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta