El incidente, que se habría originado en un ataque a la cadena de suministro, permitió a los atacantes acceder a repositorios internos y credenciales, afectando tanto a la compañía como a clientes.
Cisco estaría enfrentando las consecuencias de un ciberataque que comprometió parte de su entorno interno de desarrollo, permitiendo el robo de código fuente y el acceso a sistemas críticos. El incidente ha sido vinculado a la reciente campaña contra la herramienta de escaneo de vulnerabilidades Trivy, en uno de los casos más relevantes de ataques a la cadena de suministro en lo que va del año.
De acuerdo con el medio especializado Bleeping Computer que consultó a una fuente anónima, los atacantes aprovecharon credenciales robadas durante el incidente de Trivy para infiltrarse en los sistemas de integración y desarrollo de Cisco, lo que les permitió acceder a entornos CI/CD y a cuentas en la nube, desde donde se extrajeron datos y se ejecutaron acciones no autorizadas.
Como parte del ataque, se habrían clonado más de 300 repositorios alojados en plataformas como GitHub, incluyendo código relacionado con productos en desarrollo, soluciones basadas en inteligencia artificial e incluso proyectos aún no lanzados. Asimismo, algunos de estos repositorios contendrían información perteneciente a clientes corporativos, entre ellos instituciones financieras y organismos gubernamentales.
El incidente también habría implicado la exposición de claves de acceso a servicios cloud, lo que permitió a los atacantes interactuar con un número limitado de cuentas en la nube de la compañía. Frente a esto, se reportó que Cisco inició un proceso de contención que incluyó el aislamiento de sistemas afectados, la reinstalación de entornos comprometidos y la rotación masiva de credenciales.
Tal como lo mencionamos al principio, el origen del ataque se remontaría a una sofisticada operación contra la cadena de suministro que afectó a Trivy, una herramienta ampliamente utilizada para detectar vulnerabilidades en contenedores y entornos cloud. En ese contexto, los atacantes lograron insertar malware en versiones oficiales y en acciones de GitHub, lo que facilitó el robo de credenciales desde entornos de desarrollo de múltiples organizaciones.