Environnement de développement Cisco compromis par une chaîne d'attaque Trivy
Cisco a révélé le 31 mars 2026 que des attaquants ont réussi à pénétrer dans son environnement de développement interne en utilisant des identifiants volés lors de la récente compromission de la chaîne d'approvisionnement Trivy. Le géant du réseau a confirmé que des acteurs malveillants ont accédé sans autorisation à des systèmes contenant du code source propriétaire appartenant à la fois à Cisco et à ses clients d'entreprise.
L'attaque représente une compromission sophistiquée de la chaîne d'approvisionnement où les attaquants ont d'abord ciblé Trivy, un scanner de vulnérabilités open-source largement utilisé dans les pipelines DevOps, puis ont exploité les identifiants volés pour pivoter dans l'infrastructure de développement de Cisco. Les chercheurs en sécurité ont identifié cela comme faisant partie d'une campagne plus large ciblant les entreprises technologiques via des outils de développement compromis et des dépendances logicielles tierces.
L'équipe de sécurité de Cisco a détecté l'accès non autorisé lors de la surveillance de routine des systèmes de développement le 30 mars 2026. L'entreprise a immédiatement lancé des procédures de réponse aux incidents et a commencé une analyse médico-légale pour déterminer l'étendue complète de la compromission. Les enquêtes initiales ont révélé que les attaquants avaient maintenu un accès persistant à certains dépôts de développement pendant environ 72 heures avant la détection.
La violation a spécifiquement ciblé les instances GitLab internes de Cisco et l'infrastructure de développement associée utilisée pour l'ingénierie des produits et le développement de solutions clients. Les attaquants ont démontré une connaissance avancée des flux de travail de développement de Cisco, suggérant une reconnaissance approfondie ou une connaissance interne de l'architecture technique de l'entreprise. Les acteurs malveillants se sont concentrés sur les dépôts contenant des logiciels de réseau, des micrologiciels d'appareils de sécurité et du code de personnalisation spécifique aux clients.
Le directeur de la sécurité de Cisco a confirmé que le vecteur d'attaque provenait d'identifiants de scanner Trivy compromis qui étaient intégrés dans des pipelines CI/CD automatisés. Ces identifiants ont fourni aux attaquants un accès élevé aux systèmes de développement qui seraient normalement isolés des réseaux externes. L'entreprise a depuis révoqué tous les identifiants potentiellement compromis et mis en œuvre des couches d'authentification supplémentaires dans toute son infrastructure de développement.
Les clients et les équipes de développement de Cisco font face à un risque d'exposition du code
La violation impacte directement les équipes de développement internes de Cisco et potentiellement des milliers de clients d'entreprise dont les configurations personnalisées et les intégrations propriétaires étaient stockées dans les dépôts compromis. Cisco a identifié environ 15 000 dépôts de code spécifiques aux clients qui ont pu être consultés lors de l'attaque, couvrant des secteurs tels que les télécommunications, les services financiers, le gouvernement et les infrastructures critiques.
Les organisations utilisant les services de développement personnalisés de Cisco, en particulier celles avec des configurations réseau sur mesure ou des implémentations de sécurité, font face au risque le plus élevé d'exposition. Le code source volé inclut des scripts d'automatisation réseau, des configurations de politiques de sécurité et des modules d'intégration qui pourraient révéler des informations sensibles sur les architectures réseau des clients et leurs postures de sécurité.
Les équipes de développement de produits de Cisco à travers plusieurs unités commerciales ont été affectées, avec des flux de travail d'ingénierie temporairement perturbés pendant que les équipes de sécurité mènent une analyse médico-légale. Le cycle de développement logiciel de l'entreprise a été modifié pour mettre en œuvre des contrôles de sécurité supplémentaires, entraînant des retards dans les sorties de produits prévues et les livrables clients programmés pour le deuxième trimestre 2026.
La violation affecte également l'écosystème de partenaires de Cisco, car certains des dépôts compromis contenaient du code d'intégration et de la documentation API partagés avec des partenaires technologiques et des intégrateurs de systèmes. Plusieurs grands partenaires de Cisco ont été informés et mènent leurs propres évaluations de sécurité pour déterminer les impacts potentiels en aval sur leurs environnements clients.
Cisco met en œuvre des mesures d'intervention d'urgence et de protection des clients
Cisco a mis en œuvre des mesures de confinement complètes, y compris la révocation immédiate de tous les identifiants de l'environnement de développement et le déploiement d'une surveillance renforcée dans toute son infrastructure de développement logiciel. L'entreprise a activé son équipe de réponse aux incidents de sécurité (SIRT) et a engagé des spécialistes externes en cybersécurité pour mener une enquête approfondie sur l'étendue de la violation et la méthodologie d'attaque.
Tous les systèmes de développement affectés ont été isolés et subissent une imagerie médico-légale complète avant d'être reconstruits avec des configurations de sécurité renforcées. Cisco a temporairement suspendu l'accès aux dépôts spécifiques aux clients tout en mettant en œuvre un chiffrement et des contrôles d'accès supplémentaires. L'entreprise s'attend à ce que les opérations de développement reviennent à leur capacité normale dans les 14 jours, sous réserve de l'achèvement des procédures de validation de sécurité.
Les procédures de notification des clients sont en cours, Cisco contactant directement les organisations dont le code a pu être compromis. L'entreprise fournit aux clients affectés des évaluations de sécurité détaillées et des recommandations pour atténuer les risques potentiels, y compris la rotation des identifiants, les examens de segmentation du réseau et la surveillance des activités suspectes pouvant indiquer un mouvement latéral à partir de configurations exposées.
Cisco a publié des directives de sécurité d'urgence recommandant à tous les clients utilisant des scanners Trivy dans leurs pipelines de développement de faire immédiatement tourner les identifiants associés et de revoir les journaux d'accès pour détecter toute activité suspecte. L'entreprise propose également des évaluations de sécurité gratuites pour les clients préoccupés par une exposition potentielle via l'environnement de développement compromis. Les organisations peuvent accéder au catalogue des vulnérabilités exploitées connues de la CISA pour des conseils supplémentaires sur les meilleures pratiques de sécurité de la chaîne d'approvisionnement.
L'incident a incité Cisco à accélérer la mise en œuvre d'une architecture de confiance zéro dans toute son infrastructure de développement et à établir une signature de code obligatoire pour tous les livrables destinés aux clients. L'entreprise travaille avec les agences d'application de la loi et les organisations de cybersécurité pour traquer les acteurs malveillants et prévenir des attaques similaires dans l'industrie technologique.
