Cisco razvojno okruženje probijeno posle Trivy supply-chain napada
BleepingComputer piše da su napadači iskoristili ukradene kredencijale iz nedavnog Trivy supply-chain incidenta da prodru u Cisco interno razvojno okruženje i iznesu izvorni kod kompanije i dela korisničkih repozitorijuma. U tekstu se navodi da su kompromitovani build i development sistemi, da su zloupotrebljeni neki AWS ključevi i da je klonirano više od 300 GitHub repozitorijuma, uključujući i kod za AI proizvode. Cisco, prema istom izvoru, još nije javno odgovorio na pitanja o incidentu.
Ono što ovde menja sliku jeste prelazak sa jednog supply-chain incidenta na njegove posledice kod korisnika tog lanca. Kada kompromitovan alat ili GitHub Action povuče tajne iz CI/CD okruženja, šteta se ne završava na jednom sistemu, već može da se prelije na repozitorijume, cloud naloge, build infrastrukturu i podatke kupaca.
- Odmah proveriti da li su Trivy, povezani GitHub Actions ili slične zavisnosti korišćeni u CI/CD okruženju
- Rotirati sve kredencijale, tokene i AWS ključeve koji su mogli biti izloženi build ili development sistemima
- Pregledati pristup repozitorijumima, GitHub logove i neočekivana kloniranja ili izvoze koda
- Izolovati i ponovo izgraditi pogođene build i developerske sisteme ako postoji sumnja na kompromitaciju
- Tretirati supply-chain incidente kao potencijalni ulaz u šire cloud i razvojno okruženje, ne kao ograničen događaj