1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. シスコシステムズが不正アクセスの公式声明を発表 DevHubポータルを非公開に

シスコシステムズが不正アクセスの公式声明を発表 DevHubポータルを非公開に

セキュリティニュース

投稿日時: 更新日時:

シスコシステムズが不正アクセスの公式声明を発表 DevHubポータルを非公開に

「IntelBroker」という有名な脅威アクターは、自身と「EnergyWeaponUser」および「zjj」という名のハッカーと一緒に2024年6月10日にシスコシステムズ(Cisco Systems)へサイバー攻撃と不正アクセスを行い大量のデータを窃取したと発表しました。その後シスコシステムズ(Cisco Systems)は同社のサイト不正アクセスを確認し調査中であることと、原因であるDevHubポータルを非公開にしました。

シスコ システムズ(Cisco Systems)の発表

現地時間2024年10月15日にシスコは、以下発表をしており引き続きシステムへの不正アクセスはなく、一部情報は漏洩したが重要な情報は含まれていないとしています。

権限のない人物がシスコの特定のデータおよび顧客のデータにアクセスしたという報告について調査中です。シスコはこの申し立てを深刻に受け止め、この調査の一環として法執行機関と交渉しています。現在までのところ、当社の調査では当社のシステムが影響を受けたという証拠は見つかっていません。

  • 調査の結果、当社のシステムへの侵入はなかったと確信しています。
  • 問題のデータは、公開されている DevHub 環境にあることが判明しました。DevHub 環境は、お客様が必要に応じて使用できるソフトウェア コードやスクリプトなどを提供することでコミュニティをサポートできるシスコ リソース センターです。
  • 調査の現段階では、一般へのダウンロードが許可されていない少数のファイルが公開されている可能性があることが判明しました。
  • 現時点では、機密性の高い個人情報や財務データなどの機密情報が含まれていることは確認されていませんが、引き続き調査して確認します。
  • 万全の注意を払うため、調査を継続する間、サイトへの一般アクセスを無効にしました。
  • 一方、シスコは、今回の事態によって顧客が影響を受けていると判断した場合、顧客と直接連絡を取ります。

Ciscoから窃取したとするデータ

脅威アクターがシスコシステムズへ不正アクセスを主張 ハッキングしたデータを販売中

画像:BleepingComputer

  • Githubプロジェクト
  • Gitlabプロジェクト
  • SonarQubeプロジェクト
  • ソースコード
  • ハードコーディングされた資格情報
  • 機密文書
  • Jiraチケット
  • APIトークン
  • AWSプライベートバケット

なお、現在仲介者を通して仮想通貨 Monero (XMR) と引き換えにデータを販売しています。

不正アクセスの経路はAPIの脆弱性を悪用か

BleepingComputer がIntelBrokerへインタビューしたところ

IntelBroker は、公開された API トークンを通じて Cisco のサードパーティ開発環境へ不正にアクセスしたと述べた。

また、「盗んだデータを公開しないようシスコに脅迫しようとしたか?」という質問に

IntelBroker は、

もし情報を漏らさない代わりに金銭を要求するような脅威アクターを私は信用しないだろう。だから彼らも信用すべきではない」とBleepingComputerに語った。

Intel Brokerはノキアへのサイバー攻撃も主張

Intel BrokerはMIT テクノロジーレビュー直近でノキアへの不正アクセスとデータ盗難を主張しています。

ノキア(Nokia)へのサイバー攻撃

ハッカー Intel Broker の投稿によると、盗まれたデータには、

・SSH キー

・ソース コード

・RSA キー

・Bitbucket ログイン情報、

・SMTP アカウント

・Webhook

・ハードコードされた認証情報など

が含まれています。これらすべての項目により、内部システムへのさらなる不正アクセスが可能になったり、他の種類のサイバー攻撃が容易になったりする可能性があります。

APIや顧客向けポータルからの不正アクセス事例

シスコ システムズ(Cisco Systems)以外にも顧客向けポータルやAPIの脆弱性を悪用された事例があり、2024年ではDell(デル)への不正アクセスはAPIの脆弱性を悪用され結果的に、4900万人の個人情報漏洩が漏えいしています。

Dell(デル)へ不正アクセスしたMenelik氏はDellのパートナーポータルサイトのAPIを悪用して個人情報を窃取しています。
Dell(デル)のポータルに「パートナー」として、いくつかの偽名で登録し、
Dell(デル)が彼の「パートナー」アカウントを承認した後、

Menelik氏は7桁の数字と子音のみで構成されたカスタマーサービスタグをブルートフォース攻撃で突破したとしています。

さらに、彼がアクセスを許可されたポータルには「どんな種類の『パートナー』でも」アクセスできたとしています。」

参照

Cisco takes DevHub portal offline after hacker publishes stolen data

Cisco Event Response: Reports of Security Incident

 

関連記事

脅威アクター Menelik Dell(デル)が不正アクセスにより4900万人の個人情報漏洩の可能性 WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) ハッカーがMITテクノロジーレビューへサイバー攻撃を主張 29万件のデータを窃取ハッカーがMITテクノロジーレビューへサイバー攻撃を主張 29万件のデータを窃取 Dellへ不正アクセスと情報 漏洩疑惑 2024年9月に3回発生かDellへ不正アクセスと情報漏洩の疑惑 2024年9月に3回発生か ノキア、不正アクセスによる顧客や企業の情報漏洩は確認できずノキア、不正アクセスによる顧客や企業の情報漏洩は確認できず ハッカーがノキアへの不正アクセスを主張、データを2万ドルで販売中ハッカーがノキアへの不正アクセスを主張、漏洩データを2万ドルで販売中 脅威アクターがシスコシステムズへ不正アクセスを主張 ハッキングしたデータを販売中脅威アクターがシスコシステムズへ不正アクセスを主張 ハッキングしたデータを販売中 Ciscoがメール セキュリティ製品(Security Email Gateway)の重大な脆弱性を修正(CVE-2024-20401)Ciscoがメール セキュリティ製品(Security Email Gateway)の重大な脆弱性を修正(CVE-2024-20401) CiscoがNX-OSのゼロデイ 脆弱性を修正(CVE-2024-20399)CiscoがNX-OSのゼロデイ 脆弱性を修正(CVE-2024-20399)