Tysiące sieci — dużo rząd federalny, prowadzony przez rząd USA i firmy z listy Fortune 500, stoi w obliczu „bezpośredniego zagrożenia” włamania się do niego przez grupę hakerską z państwa narodowego po zhakowaniu głównego producenta oprogramowania, ostrzegł w środę rząd federalny.
F5, producent oprogramowania sieciowego z siedzibą w Seattle, ujawnił naruszenie w środę. F5 stwierdziło, że „wyrafinowana” grupa zagrożeń działająca dla nieujawnionego rządu państwa narodowego potajemnie i stale przebywała w ich sieci przez „długoterminowy okres”. Badacze bezpieczeństwa, którzy w przeszłości reagowali na podobne włamania, byli przekonani, że hakerzy przebywali w sieci F5 od lat.
Bez precedensu
W tym czasie, jak twierdzi F5, hakerzy przejęli kontrolę nad segmentem sieci, którego firma używa do tworzenia i dystrybucji aktualizacji dla BIG IP – linii urządzeń serwerowych, z których według F5 korzysta 48 z 50 największych korporacji na świecie. W środowym ogłoszeniu czytamy dalej, że grupa zagrażająca pobrała zastrzeżony kod źródłowy BIG-IP w celu uzyskania informacji o lukach w zabezpieczeniach, które zostały ujawnione prywatnie, ale jeszcze nie załatane. Hakerzy uzyskali także ustawienia konfiguracyjne, z których niektórzy użytkownicy korzystali w swoich sieciach.
Kontrolowanie systemów kompilacji oraz dostęp do kodu źródłowego, konfiguracji użytkowników i dokumentacji niezałatanych luk w zabezpieczeniach może zapewnić hakerom bezprecedensową wiedzę na temat luk w zabezpieczeniach i możliwość wykorzystania ich w atakach na łańcuch dostaw na tysiące sieci, z których wiele jest podatnych na ataki. Kradzież konfiguracji użytkowników i innych danych dodatkowo zwiększa ryzyko niewłaściwego wykorzystania poufnych danych uwierzytelniających, twierdzą F5 i zewnętrzni eksperci ds. bezpieczeństwa.
Klienci wdrażają BIG-IP na samym brzegu swoich sieci, aby wykorzystać go jako moduły równoważenia obciążenia i zapory ogniowe oraz do przeglądania i szyfrowania danych wchodzących i wychodzących z sieci. Biorąc pod uwagę pozycję sieciową BIG-IP i jego rolę w zarządzaniu ruchem serwerów internetowych, poprzednie kompromisy umożliwiły przeciwnikom rozszerzenie dostępu na inne części zainfekowanej sieci.
F5 stwierdziło, że dochodzenia prowadzone przez dwie zewnętrzne firmy zajmujące się reagowaniem na włamania nie znalazły jeszcze żadnych dowodów na ataki na łańcuch dostaw. Firma załączyła pisma do IOActive i NCC Group potwierdzające, że analizy kodu źródłowego i potoku kompilacji nie wykazały żadnych oznak, że „zagrożenie zmodyfikowało lub wprowadziło jakiekolwiek luki w przedmiotowych elementach”. Firmy stwierdziły również, że nie zidentyfikowały żadnych dowodów na istnienie krytycznych luk w systemie. Śledczy, do których należeli także Mandiant i CrowdStrike, nie znaleźli dowodów na to, że uzyskano dostęp do danych z CRM, systemów finansowych, systemów zarządzania sprawami wsparcia lub systemów opieki zdrowotnej.
Firma wydała aktualizacje dla swoich produktów BIG-IP, F5OS, BIG-IQ i APM. Tagi CVE i inne szczegóły są tutaj. Dwa dni temu F5 dokonała rotacji certyfikatów podpisywania BIG-IP, choć nie było bezpośredniego potwierdzenia, że było to reakcją na naruszenie.
