“La compañía está revisando actualmente el contenido de estos archivos y se comunicará directamente con los clientes afectados según corresponda”, dijo F5.
Un actor de amenazas vinculado al gobierno que obtuvo acceso no autorizado a los sistemas de F5 robó el código fuente de sus productos de seguridad y entrega de aplicaciones BIG-IP, así como archivos que contienen información de configuración e implementación del cliente.
El proveedor de seguridad con sede en Seattle dijo el miércoles en una presentación regulatoria y en una publicación en su sitio web que la información de configuración o implementación era “para un pequeño porcentaje de clientes” y provenía de su plataforma de gestión de conocimientos. El atacante tenía “acceso persistente a largo plazo” al entorno de desarrollo BIG-IP y a la plataforma de gestión de conocimientos de ingeniería.
“La compañía está revisando actualmente el contenido de estos archivos y se comunicará directamente con los clientes afectados según corresponda”, dijo F5 en una presentación ante la Comisión de Bolsa y Valores de Estados Unidos (SEC). “A la fecha de esta publicación de información, este incidente no tuvo un impacto material en las operaciones de la Compañía, y la Compañía está evaluando el impacto de este incidente en su condición financiera o resultados de operaciones”.
(RELACIONADO: Salesforce confirma que no ‘reclutará, negociará ni pagará’ a actores amenazantes)
F5 Violación de BIG-IP
CRN se comunicó con F5 para solicitar comentarios.
Los principales objetivos del proveedor para 2025 incluyen aumentar los índices de satisfacción del cliente de los socios, según los gerentes de canal de CRN 2025.
La divulgación se produce días antes del informe de ganancias del cuarto trimestre fiscal de F5, que está programado para el 27 de octubre.
La presentación ante la SEC decía que el 12 de septiembre, el Departamento de Justicia de EE. UU. autorizó a F5 a retrasar la divulgación pública de la infracción.
Si bien ninguna de las revelaciones públicas sobre el hack ha identificado el país con el que está asociado el actor de amenazas, la consultora de ciberseguridad Sygnia en particular publicó un informe en junio de 2024 que señalaba al grupo Velvet Ant, que parecía estar vinculado a China y apuntaba a un dispositivo F5 BIG-IP heredado en un ciberataque a una gran organización anónima a finales de 2023.
El miércoles, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. publicó un boletín en línea que ordena a las agencias de la Oficina Federal de Control Civil (FCEB) que realicen un inventario de productos BIG-IP, evalúen si las interfaces de administración de red son accesibles desde la Internet pública y actualicen los productos para evitar la explotación por “amenazas cibernéticas de accionistas asociadas con un estado-nación”, que comprometieron los sistemas F5.
“El acceso de un atacante al propio código fuente de F5 podría darle una ventaja técnica para explotar los dispositivos y el software de F5”, decía el boletín de CISA. “El acceso de un actor de amenazas puede brindar la capacidad de realizar análisis estáticos y dinámicos para identificar fallas lógicas y vulnerabilidades de día cero, así como la capacidad de desarrollar exploits específicos”.
CISA ha ordenado una acción de emergencia inmediata para BIG-IP iSeries, rSeries y cualquier otro hardware F5 cuyo soporte haya finalizado. También gestionó las operaciones para todos los dispositivos que ejecutan BIG-IP (F5OS), BIG-IP (TMOS), Virtual Edition (VE), BIG-IP Next, BIG-IQ, BIG-IP Next para Kubernetes (BNK y software Cloud-Native Network Functions (CNF).
Las agencias deben desactivar y desmantelar cualquier dispositivo F5 una vez completado el soporte de emergencia.
El acceso a la amenaza fue descubierto en agosto.
En una presentación F5 ante la SEC, la compañía dijo que se dio cuenta del acceso no autorizado el 9 de agosto y creía que había contenido con éxito la actividad.
F5 ha estado trabajando con CrowdStrike, la filial de Google Mandiant, autoridades policiales y socios gubernamentales desde el descubrimiento, según un comunicado de la compañía el miércoles.
Según F5, el proveedor no encontró evidencia de datos robados de la gestión de relaciones con el cliente (CRM), sistemas financieros, sistemas de gestión de casos de soporte o iHealth.
Parece que el atacante no accedió ni modificó el código fuente de NGINX ni el entorno de desarrollo de productos, los sistemas de servicios distribuidos en la nube F5 ni los sistemas Silverline. NCC Group e IOActive han confirmado que no hay evidencia de que un atacante haya alterado la cadena de suministro del software de F5.
Las recomendaciones de F5 a los usuarios incluyen habilitar la transmisión de eventos BIG-IP a su herramienta de gestión de eventos e información de seguridad (SIEM) y actualizar su software BIG-IP lo antes posible.
Según F5, después de que se descubrió el acceso no autorizado, el proveedor cambió las credenciales y fortaleció los controles de acceso en sus sistemas, implementó una automatización mejorada de la gestión de parches e inventario y mejoró su arquitectura de seguridad de red, entre otras mejoras.
Continúa revisando códigos y probando productos con NCC Group e IOActive. Extendió los productos Falcon Endpoint Detección y Respuesta (EDR) y Overwatch Threat Hunting de CrowdStrike a BIG-IP para mayor visibilidad y protección mejorada. F5 proporcionará a los clientes de BIG-IP una versión de acceso temprano de los productos y brindará a los clientes compatibles una suscripción gratuita a CrowdStrike Falcon EDR, según la publicación en línea de la compañía sobre el incidente de seguridad.
En particular, F5 descubrió el acceso no autorizado días antes de anunciar planes de despedir a más de 100 empleados en medio de cambios en la organización de su producto.
Según un informe de Morgan Stanley publicado a principios de este mes, los socios y clientes de F5 también se encuentran en el inicio de un período de actualización de dispositivos que debería durar el próximo año para los productos Viprion e iSeries.
El proveedor también está comprando activamente CalypsoAI, cerrando $ 180 millones el 29 de septiembre. Este año también vio la adquisición de Fletch y MantisNet por parte de F5.
Otras batallas entre proveedores y amenazas que han salido a la luz pública en los últimos días incluyen a Avnet, Oracle, Salesforce y Cisco.
