- 사건 개요
- IntelBroker라 불리는 해커가 Cisco DevHub 인스턴스에서 탈취한 일부 데이터(약 2.9GB)를 사이버 범죄 포럼(BreachForums)에 공개
- 해커 측은 실제 탈취 데이터가 4.5TB(또는 800GB)라고 주장하나, 과장 가능성 높음
- DevHub는 고객용 소스 코드, 스크립트 등을 제공하기 위한 공개 웹 리소스 중 하나
- 유출된 데이터 성격
- Cisco Catalyst, IOS, ISE, SASE, Umbrella, WebEx 관련 JavaScript, Python 및 기타 소스 코드
- 인증서(certificate), 라이브러리 파일 등
- Cisco 조사 결과, 해당 인스턴스 일부에 잘못된 구성(misconfiguration) 존재
- 일부 파일은 의도치 않게 공개된 상태였으며, 해커가 이를 다운로드
- Cisco 반응
- 데이터 탈취는 Cisco 내부 시스템의 “침해(breach)”가 아님을 재차 강조
- DevHub는 공개 리소스 제공용이므로 대다수 정보는 이미 공개 가능 범위
- 조사 결과, 민감한 개인 정보나 금융 데이터 유출 징후는 발견되지 않음(이전에는 명시, 현재는 언급 안 함)
- 해커가 공개한 데이터는 기존 DevHub 인스턴스 노출로 파악된 동일 자료로 판단
- 추가 확인 사항
- 해커 IntelBroker는 과장된 주장 전례 있음
- Cisco는 DevHub 구성 오류로 일부 파일이 의도치 않게 노출되었음을 인정
- Cisco “해킹” 오해를 불식: 내부 엔터프라이즈·프로덕션 환경 침해 증거 미발견
- 정확한 탈취 규모는 Cisco가 확인하지 않았으나, 상당수 파일은 이미 공개용이라는 입장
- 결론
- 실제 공격은 Cisco 내부 시스템 침투가 아니라 공개 DevHub 인프라 일부 설정 오류를 악용한 접근
- 유출된 파일 중 상당수는 공개 예정이었으나, 일부 고객관련 자료 포함 가능성
- 조직은 공개 웹 리소스 구성 시, 설정 오류를 사전에 점검 및 지속 모니터링 필요
- 탈취된 데이터가 민감 정보로 이어질 가능성은 낮으나, 소스 코드 관련 보안 영향 최소화를 위해 기업 내부 관리와 고객 커뮤니케이션이 중요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Webview2 악용으로 CoinLurker 악성코드 배포: 가짜 업데이트 유도 주의 (0) | 2025.01.02 |
|---|---|
| APT29(러시아 연계) 해커, 악성 RDP 서버·PyRDP 활용한 공격 전술 (0) | 2025.01.02 |
| 통합 클러스터 관리: 보안과 효율성 강화 방안 (3) | 2025.01.02 |
| 마이크로소프트의 보안 혁신 전략 및 주요 프로그램 (1) | 2025.01.02 |
| 준비된 기업만이 성공할 수 있는 버그 바운티 프로그램 (0) | 2025.01.02 |