ABD'li ağ teknolojileri devi Cisco Systems, büyük çaplı bir siber saldırının hedefi oldu. Saldırganlar, şirketin geliştirme departmanına ait cihazlara erişerek kaynak kodları ile birlikte müşteri verilerini de çaldı. Teknoloji medyasında yer alan habere göre, saldırının kapsamı henüz tam olarak belirlenemezken, şirketin iç sistemlerine yetkisiz erişim sağlandığı belirtiliyor.
LiteLLM Saldırısından Cisco'ya Uzanan Zincir
Cisco'ya yönelik saldırının, geçtiğimiz hafta açık kaynaklı LiteLLM kütüphanesine yapılan tedarik zinciri saldırısıyla bağlantılı olduğu iddia ediliyor. Python Package Index (PyPI) üzerindeki iki LiteLLM paketinin tehlikeye atılması sonucu, saldırganlar kimlik bilgileri çalmak için tasarlanmış kötü amaçlı yazılımlar yerleştirmişti. Bu yazılım SSH anahtarları, ortam değişkenleri, bulut sağlayıcı kimlik bilgileri (AWS, GCP, Azure), Kubernetes tokenları ve veritabanı şifrelerini hedef alıyor.
Anonim kaynaklara göre, Cisco çalışanları çalınan kimlik bilgilerini zamanında değiştirmediği için saldırganlar şirketin sistemlerine sızabildi. Bu durum, tedarik zinciri saldırılarının ne kadar hızla yayılabileceğini gözler önüne seriyor.
300'den Fazla GitHub Deposu Kopyalandı
Saldırıda çalınan Amazon Web Services (AWS) anahtarları kullanılarak, Cisco'nun sınırlı sayıdaki AWS hesabında yetkisiz faaliyetler gerçekleştirildi. Siber güvenlik uzmanlarının aktardığına göre, TeamPCP olarak bilinen saldırgan grup şubat ayından beri aktif faaliyet gösteriyor ve her saldırıda elde ettiği kimlik bilgilerini kullanarak yeni hedeflere yöneliyor.
Saldırı kapsamında 300'den fazla GitHub deposunun kopyalandığı belirtiliyor. Bu depolar arasında yapay zeka ürünlerine ait kaynak kodlar, KI asistanları, KI güvenlik çözümleri ve henüz piyasaya sürülmemiş ürünlere ait kodlar bulunuyor. Özellikle bankalar ve ABD devlet kurumları gibi Cisco'nun büyük müşterilerine ait kod parçalarının da çalındığı ifade ediliyor.
Cisco'dan Henüz Resmi Açıklama Yok
Cisco Systems, siber saldırıyla ilgili henüz resmi bir açıklama yapmadı. Ancak güvenlik kaynaklarının aktardığına göre, şirket saldırıyı sınırlandırmak için gerekli önlemleri aldı. Etkilenen sistemler ve geliştirici iş istasyonları en son yedeklemelerle yeniden kurulurken, kimlik bilgileri geniş çaplı olarak güncelleniyor.
Hangi ürünlerin ve müşterilerin çalınan kaynak kodlardan etkilendiği ise henüz netlik kazanmadı. Saldırganların Cisco'nun geliştirme departmanının iç sistemlerine erişim sağladığı kesinleşse de, veri ihlalinin tam boyutu araştırılmaya devam ediliyor.
Tedarik Zinciri Saldırılarında Artış
Bu saldırı, teknoloji sektöründe tedarik zinciri saldırılarının artan etkisini gösteriyor. Açık kaynaklı kütüphanelerin ve yazılım depolarının hedef alınmasıyla başlayan saldırılar, büyük teknoloji şirketlerine kadar uzanabiliyor. TeamPCP grubunun özellikle çalınan kimlik bilgilerini kullanarak bir projeden diğerine geçme stratejisi, bu tür saldırıların ne kadar sistematik hale geldiğini ortaya koyuyor.
Cisco'nun bu saldırıya maruz kalması, kurumsal siber güvenlik stratejilerinde tedarik zinciri güvenliğinin kritik önemini bir kez daha vurguluyor. Şirketlerin üçüncü taraf bileşenlerden kaynaklanan riskleri değerlendirmesi ve kimlik bilgilerini düzenli olarak güncellemesi gerekliliği ön plana çıkıyor.
