Il 18 dicembre 2024, è stato rivelato un nuovo episodio di una serie di attacchi informatici da parte del gruppo di hacker noto come IntelBroker. Questo gruppo ha pubblicato una parte dei dati rubati da un’istanza di DevHub di Cisco, esponendo vulnerabilità nella sicurezza dei sistemi di una delle più grandi aziende di tecnologia informatica del mondo. In questo articolo, esploreremo i dettagli di questo attacco, le conseguenze per Cisco e i suggerimenti per migliorare la sicurezza dei propri sistemi.
I Fatti dell’Attacco
Il 6 ottobre 2024, IntelBroker ha annunciato di aver guadagnato accesso ai sistemi di Cisco, rubando grandi quantità di dati appartenenti sia a Cisco che ai suoi clienti. Il gruppo di hacker ha affermato di aver esfiltrato circa 4,5 TB di dati sensibili, tra cui progetti GitHub, GitLab, SonarQube, codice sorgente, credenziali hardcodate, certificati, database dei clienti, documenti confidenziali di Cisco, biglietti Jira, token API, bucket privati AWS, costruzioni Docker, bucket di archiviazione Azure, chiavi private e pubbliche, certificati SSL e prodotti premium di Cisco.
Come è Avvenuto l’Attacco
IntelBroker ha rivelato che l’accesso ai sistemi di Cisco è stato possibile grazie a un’istanza di DevHub lasciata aperta da Cisco. Questo errore di sicurezza ha permesso ai hacker di accedere e scaricare file critici, esponendo vulnerabilità significative nella sicurezza dei sistemi di Cisco. Il gruppo di hacker ha anche pubblicato una piccola parte dei dati rubati, che includeva 2,9 GB di dati, tra cui software Cisco C9800-SW-iosxe-wlc.16.11.01, Cisco IOS XE & XR, Cisco ISE, Cisco SASE, Cisco Umbrella e Cisco Webex.
Conseguenze per Cisco
L’attacco di IntelBroker ha portato a una serie di conseguenze per Cisco, tra cui:
- Rischio per la sicurezza: L’esfiltrazione di dati sensibili ha esposto la sicurezza di Cisco e dei suoi clienti a rischi significativi.
- Rischio per la reputazione: L’attacco ha potenzialmente danneggiato la reputazione di Cisco, specialmente se i dati rubati vengono venduti sul dark web.
- Rischio per la catena di approvvigionamento: L’attacco ha anche esposto la catena di approvvigionamento di Cisco, potenzialmente mettendo a rischio i clienti B2B dell’azienda.
Suggerimenti per Migliorare la Sicurezza
Per evitare attacchi simili in futuro, ecco alcuni suggerimenti per migliorare la sicurezza dei propri sistemi:
1. Monitorare le Istanze di DevHub
- Verificare le configurazioni: Assicurarsi che tutte le istanze di DevHub siano configurate correttamente e che non siano lasciate aperte.
- Implementare controlli di accesso: Implementare controlli di accesso robusti per garantire che solo gli utenti autorizzati possano accedere alle istanze di DevHub.
2. Utilizzare Password Manager
- Generare password forti: Utilizzare password manager per generare password forti e uniche per ogni account.
- Abilitare MFA: Abilitare la modalità di autenticazione a due fattori (MFA) per aggiungere un livello di sicurezza aggiuntivo.
3. Riconoscere e Reportare i Tentativi di Phishing
- Essere cauti con i messaggi non richiesti: Essere cauti con i messaggi non richiesti che chiedono informazioni personali.
- Reportare i tentativi di phishing: Reportare i tentativi di phishing e cancellare i messaggi.
4. Aggiornare il Software
- Verificare le aggiornamenti automatici: Verificare se gli aggiornamenti automatici sono disponibili e installarli regolarmente.
- Aggiornare manualmente: Aggiornare manualmente il software se gli aggiornamenti automatici non sono disponibili.
5. Implementare Controlli di Accesso
- Limitare l’accesso: Limitare l’accesso ai sistemi e alle risorse sensibili solo agli utenti autorizzati.
- Monitorare le attività degli utenti: Monitorare le attività degli utenti per rilevare eventuali comportamenti sospetti.
6. Utilizzare Strumenti di Sicurezza Avanzati
- Utilizzare strumenti di sicurezza avanzati: Utilizzare strumenti di sicurezza avanzati come i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) per rilevare e prevenire attacchi.
7. Educazione e Formazione
- Educazione degli utenti: Educazione degli utenti sulla sicurezza informatica e sulla prevenzione degli attacchi.
- Formazione continua: Formazione continua per gli amministratori di sistema e gli utenti finali sulla sicurezza informatica.
L’attacco di IntelBroker a Cisco è un chiaro esempio della necessità di una sicurezza informatica robusta. Implementando questi suggerimenti, le aziende possono ridurre il rischio di attacchi simili e proteggere i propri sistemi e i dati sensibili. La sicurezza informatica è una responsabilità continua che richiede attenzione costante e azioni proattive per prevenire e rispondere agli attacchi.
Fonte: https://cybersecuritynews.com/intelbroker-leaked-2-9gb-cisco-data
