【网安洞察】思科多款产品源代码及数据遭泄露事件

2024年12月16日，知名黑客（情报经纪人，暗网ID：IntelBroker）在BreachForums（暗网论坛）披露已获取思科4.5T数据并放出其中2.9GB数据供下载。据其称于2024年10月已入侵思科DevHub系统，并获取其4.5T数据。

思科回应称事件为公司DevHub系统资源配置错误造成，泄露数据涉及大量思科系列产品的源代码、硬编码凭证、证书和密钥、机密文档、API令牌和其他敏感信息。

      本次泄露可能威胁使用思科产品的企业的数据安全，其行动或升级为勒索，剩余数据仍存在风险，鉴于泄露源代码情况还可能引发零日漏洞风险，建议相关企业制定安全防范策略。

关于黑客（情报经纪人，暗网ID：IntelBroker）IntelBroker以高调的数据泄露事件而闻名，在2024年有多起数据窃取行为，如6月声称入侵苹果公司、AMD欧洲刑警组织、汇丰银行、巴克莱银行等。

（一）泄露时间：首次发现于2024年10月，部分数据于12月16日被公开泄露。

（二）泄露数据量：总共涉及4.5T数据，此次泄露2.9GB。

（三）涉及产品：CiscoC9800-SW-iosxe-wlc.16.11.01、CiscoIOSXE&XR、CiscoISE、CiscoSASE、CiscoUmbrella、CiscoWebex系列产品。

据Hackread研究团队报道，IntelBroker列出了据称泄露中被盗的大量数据，包括：

源代码：来自GitHub、GitLab和SonarQube的项目，对Cisco的开发工作至关重要。

      硬编码凭证：源代码中嵌入的敏感信息，如登录详细信息。

证书和密钥：SSL证书以及对安全通信至关重要的公钥和私钥。

机密文档：分类为“Cisco机密”的内部文档和信息。

API令牌和存储桶：可用于访问关键系统的AWS私有存储桶、Azure存储桶和API令牌。

其他敏感信息：还列出了Jira票证、Docker版本和Cisco高级产品。

思科将数据泄露问题归咎于面向公众的DevHub资源配置错误，黑客可能利用其访问权限、安全认证方面配置不当，在无密码保护或安全认证情况下访问并下载了4.5T数据，比如权限设置宽松、认证机制有漏洞可以让人绕过正常流程进入系统；同时，IntelBroker曾表示利用软件供应链平台JFrog的暴露令牌获取了相关内容，这意味着黑客会通过发现和利用软件供应链环节漏洞（如JFrog平台令牌暴露问题），扩大攻击面，入侵目标系统并窃取数据。

Hackread.com于2024年10月14日报道，IntelBroker试图出售包括Verizon、AT&T、Microsoft等公司敏感信息（如源代码、机密文件和凭证）的数据，此次思科多款产品数据遭泄露事件，不仅可能对使用思科相关产品的企业和机构的网络安全、数据安全形成潜在威胁，而且涉及的Verizon、AT&T、Microsoft等公司的敏感信息一旦泄露，极有可能引发严重后果。

IntelBroker的行动可能会升级为勒索行为，剩余的4.5TB数据集存在被出售或进一步泄露的风险，将对思科公司的声誉和客户信任产生重大影响，也给其他企业在数据安全管理方面敲响了警钟。

经公安部一所深圳服务中心分析，12月26日日航黑客攻击事件中涉及的路由器正是思科公司的产品，因此该源代码和数据泄露事件有一定可能性与日航黑客攻击事件有关联。

      广东省计算机信息网络安全协会成立于1999年7月，是全国首家信息网络安全专业协会，在广东省民政厅登记注册的具有法人资格的社会组织，属于非营利性协会。经过在行业中二十多年的耕耘，在社会各界的鼎力支持下，目前会员遍及IT、医疗卫生、通讯、金融、信创、教育、能源、交通等各个行业和领域。