Table of Contents
Incidente de Segurança na Cisco: Acesso Público Desabilitado
A Cisco desativou o acesso público a um de seus ambientes DevHub após atores mal-intencionados baixarem dados de clientes do site e os colocarem à venda em um fórum de crimes cibernéticos. O data leak comprometeu informações críticas, incluindo códigos-fonte, tokens de API, credenciais codificadas, certificados e outros segredos pertencentes a grandes empresas, como Microsoft, Verizon, T-Mobile, AT&T, Barclays e SAP.
Roubo de Dados de Ambiente Público
A notícia sobre a violação de segurança surgiu pela primeira vez há uma semana, quando pesquisadores notaram três atores mal-intencionados usando os pseudônimos IntelBroker, EnergyWeaponUser e zjj, oferecendo os dados à venda no BreachForums. O IntelBroker é uma entidade sérvia reconhecida que começou suas operações em 2022 e está ligada a vários grandes data heists, incluindo invasões à Europol, General Electric e à DARPA (Defense Advanced Research Projects Agency).
A Cisco anunciou que estava investigando o incidente no dia 15 de outubro. Três dias depois, a empresa confirmou o incidente de segurança em uma atualização que ofereceu poucos detalhes sobre o tipo de dados que os atacantes conseguiram acessar e baixar. Os sistemas da Cisco parecem não ter sido afetados no incidente. “Determinamos que os dados em questão estão em um ambiente DevHub publicamente acessível — um centro de recursos da Cisco que nos permite apoiar nossa comunidade, disponibilizando códigos de software, scripts, etc., para que os clientes possam usar conforme necessário”, afirmou o comunicado da Cisco.
O comunicado também indicou que, neste estágio da investigação, foi determinado que um pequeno número de arquivos que não estavam autorizados para download público pode ter sido publicado. A empresa declarou que, até o momento, não há evidências de que os atacantes acessaram ilegalmente dados de identidade pessoal ou informações financeiras, mas acrescentou que ainda estava investigando essa possibilidade. “Por uma questão de cautela, desativamos o acesso público ao site enquanto continuamos a investigação”, disse a empresa.
Na postagem do BreachForums, os atores mal-intencionados alegaram que os dados baixados do site DevHub da Cisco incluíam projetos do GitHub e GitLab, códigos-fonte, bilhetes do Jira, imagens de contêiner, dados de buckets de armazenamento da AWS e, pelo menos, algumas informações confidenciais da Cisco.
Lembrete: A Necessidade de Proteger Ativos Públicos
O incidente da Cisco serve como um lembrete da importância de as organizações protegerem ambientes publicamente acessíveis com medidas como validação de entrada para proteger contra ataques de injeção, ferramentas e processos de autenticação robustos, e avaliações regulares de vulnerabilidade, segundo Jason Soroko, especialista da Sectigo.
Os erros comuns que as organizações cometem na segurança de seus ativos publicamente expostos incluem:
- Negligenciar as diretrizes da OWASP;
- Subestimar os riscos de segurança;
- Falhar em atualizar os sistemas regularmente;
- Não priorizar práticas de codificação seguras.
Como recomenda Soroko: “Não se esqueça de fazer backup do código do seu site e pratique restaurá-lo. Ferramentas de detecção de malware estão disponíveis que facilitam a verificação regular.”
Organizações costumam perceber seus ativos publicamente acessíveis como menos críticos, quando, na realidade, eles podem expor informações sensíveis que atacantes poderiam usar para futuras intrusões. Os dados obtidos pelos atacantes no incidente da Cisco, por exemplo, incluíam códigos-fonte, tokens de API, certificados e credenciais que os atacantes poderiam potencialmente utilizar de maneira significativa em uma futura campanha.
Eric Schwake, diretor de estratégia de cibersegurança da Salt Security, afirma que vários fatores contribuem para que dados sensíveis acabem em ambientes públicos das organizações. “Isso pode ocorrer devido a configurações de controle de acesso acidentais, erros humanos na gestão de código ou arquivos, testes de segurança inadequados antes da implantação ou a violação de serviços de terceiros”, ressalta. Essas falhas podem levar à exposição de dados sensíveis e criar potenciais pontos de entrada para atacantes.
Schwake recomenda que as organizações implementem uma estratégia de segurança em múltiplas camadas para reduzir esse risco. “Isso envolve a imposição de controles de acesso rigorosos, a promoção de práticas de codificação seguras, a realização de testes de segurança abrangentes, a construção de padrões de governança e a realização de avaliações de segurança regulares”, acrescenta. “O uso de soluções de gerenciamento de segredos e ferramentas de monitoramento contínuo pode melhorar ainda mais a segurança e proteger contra o acesso não autorizado a informações sensíveis.”
#Cisco #Segurança #DataBreach #Cibersegurança #DevHub #Privacidade #ProteçãoDeDados #Vulnerabilidades