Cyberattaque chez Cisco : du code source dérobé après une compromission interne

Le géant américain des infrastructures réseau Cisco confirme une cyberattaque ayant compromis son environnement de développement interne entraînant le vol de code source. Les acteurs malveillants ont exploité des identifiants volés lors de l’incident de la chaîne d’approvisionnement Trivy selon les informations de Bleeping Computer. L’attaque a été rendue possible par l’insertion d’un plug‑in malveillant GitHub Action associé à l’incident Trivy, qui a permis aux assaillants de collecter des identifiants et des données au sein des systèmes de build et de développement de Cisco. 

D’après Bleeping Computer, des dizaines de machines ont été affectées, y compris des postes de développeurs et des environnements de laboratoire. Les équipes de réponse aux incidents de Cisco, y compris le CSIRT (Computer Security Incident Response Team) et l’EOC (Emergency Operations Center), ont identifié et contenu l’intrusion. Toutefois, la société s’attend à des retombées continues, en lien avec des attaques en chaîne comme celles impliquant LiteLLM et Checkmarx, qui ont également ciblé des composants de la chaîne d’approvisionnement logicielle. Dans le cadre de la compromission, plusieurs clés AWS ont été volées et utilisées pour mener des actions non autorisées sur un petit nombre de comptes AWS de Cisco. L’entreprise affirme avoir isolé les systèmes compromis, commencé leur réimagerie complète et procédé à une rotation généralisée des identifiants pour limiter l’impact.

Les experts en cybersécurité soulignent que ce type d’attaque met l’accentsur  la vulnérabilité des chaînes d’outils de développement modernes.

Source : BleepingComputer