Firma de securitate cibernetică F5 Networks afirmă că hackeri susținuți de guvern au avut „acces pe termen lung și persistent” la rețeaua sa, ceea ce le-a permis să fure codul sursă al companiei și informațiile clienților, potrivit BleepingComputer. Producătorul de software de rețea cu sediul în Seattle a dezvăluit miercuri această breșă de securitate.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Într-un document depus miercuri la Comisia pentru Valori Mobiliare și Burse din SUA, F5 a declarat că „consideră că măsurile de izolare au avut succes”, după ce a descoperit pentru prima dată hackerii în rețeaua sa pe 9 august.
Cercetătorii în domeniul securității care au răspuns la intruziuni similare în trecut au interpretat această afirmație ca însemnând că hackerii se aflau în rețeaua F5 de ani de zile.
F5 este un gigant tehnologic din topul Fortune 500, specializat în securitate cibernetică, gestionarea cloud și aplicații de rețea pentru livrarea de aplicații (ADN). Compania are 23.000 de clienți în 170 de țări, iar 48 dintre entitățile din topul Fortune 50 utilizează produsele sale.
BIG-IP este produsul emblematic al companiei, utilizat pentru livrarea de aplicații și gestionarea traficului de către multe întreprinderi mari din întreaga lume.
Fără riscuri identificate pentru lanțul de aprovizionare
Nu este clar cât timp au avut acces hackerii, dar compania a confirmat că aceștia au furat codul sursă, date privind vulnerabilitățile și unele detalii de configurare și implementare pentru un număr limitat de clienți.
„Prin acest acces, anumite fișiere au fost sustrase, unele dintre ele conținând anumite porțiuni din codul sursă BIG-IP al companiei și informații despre vulnerabilități nedivulgate la care se lucra în BIG-IP”, afirmă compania.
În ciuda acestei expuneri critice a defectelor nedivulgate, F5 afirmă că nu există dovezi că atacatorii au folosit informațiile în atacuri reale, cum ar fi exploatarea defectului nedivulgat împotriva sistemelor. Compania afirmă, de asemenea, că nu a văzut dovezi că informațiile private au fost divulgate.
F5 susține că accesul atacatorilor la mediul BIG-IP nu a compromis lanțul său de aprovizionare cu software și nu a dus la modificări suspecte ale codului.
Aceasta include platformele sale care conțin date ale clienților, cum ar fi sistemele CRM, financiare, de gestionare a cazurilor de asistență sau iHealth. În plus, alte produse și platforme gestionate de companie nu sunt compromise, inclusiv NGINX, F5 Distributed Cloud Services sau codul sursă al sistemelor Silverline.
Răspunsul la atacul cibernetic
După descoperirea intruziunii, F5 a luat măsuri de remediere prin restricționarea accesului la sistemele sale și îmbunătățirea capacităților sale generale de monitorizare, detectare și răspuns la amenințări.
În plus, compania se concentrează și pe securitatea produselor sale prin revizuirea codului sursă și evaluări de securitate cu sprijinul NCC Group și IOActive.
Evaluarea NCC Group a cuprins revizuiri de securitate ale componentelor software critice din BIG-IP și porțiuni din procesul de dezvoltare, într-un efort care a implicat 76 de consultanți.
Expertiza IOActive a fost solicitată după descoperirea atacului, iar colaborarea este încă în curs. Rezultatele de până acum nu arată nicio dovadă că atacatorii ar fi introdus vulnerabilități în codul sursă al software-ului critic F5 sau în procesul de dezvoltare a software-ului.
Măsuri recomandate clienților
F5 încă analizează care dintre clienți au avut detaliile de configurare sau implementare furate și îi va contacta pentru a le oferi îndrumări.
Pentru a ajuta clienții să-și securizeze mediile F5 împotriva riscurilor generate de breșă, compania a lansat actualizări pentru clienții BIG-IP, F5OS, BIG-IP Next pentru Kubernetes, BIG-IQ și APM.
În ciuda lipsei dovezilor „privind vulnerabilități critice sau de execuție a codului la distanță nedivulgate”, compania îndeamnă clienții să acorde prioritate instalării noilor actualizări software BIG-IP.
F5 a confirmat că actualizările din ultimele zile abordează impactul potențial rezultat din vulnerabilitățile nedivulgate furate.
În plus, departamentul de asistență F5 pune la dispoziția clienților un ghid de identificare a amenințărilor pentru a îmbunătăți detectarea și monitorizarea în mediul lor.
Noile bune practici pentru consolidarea sistemelor F5 includ acum verificări automate ale instrumentului de diagnosticare F5 iHealth, care poate acum semnaliza riscurile de securitate, vulnerabilitățile, poate prioritiza acțiunile și oferi îndrumări pentru remediere.
O altă recomandare este să activați streamingul de evenimente BIG-IP către SIEM și să configurați sistemele pentru a se conecta la un server syslog la distanță și a monitoriza încercările de conectare.
Compania a adăugat că a validat siguranța versiunilor BIG-IP prin multiple revizuiri independente efectuate de firme de securitate cibernetică de top, inclusiv CrowdStrike și Mandiant.
Luni, F5 a anunțat că a rotit certificatele și cheile criptografice utilizate pentru semnarea produselor sale digitale. Modificarea afectează instalarea imaginilor software BIG-IP și BIG-IQ TMOS în timp ce verificarea semnăturii imaginii ISO este activată, precum și instalarea imaginilor BIG-IP F5OS tenant pe sistemele gazdă care rulează F5OS.
Îndrumări suplimentare pentru clienții F5 vin de la Centrul Național de Securitate Cibernetică (NCSC) din Marea Britanie și de la Agenția pentru Securitate Cibernetică și Infrastructură (CISA) din SUA.
Ambele agenții recomandă identificarea tuturor produselor F5 (hardware, software și virtualizate) și asigurarea că nicio interfață de gestionare nu este expusă pe internetul public. Dacă se descoperă o interfață expusă, companiile ar trebui să efectueze o evaluare a compromiterii.
F5 menționează că a întârziat divulgarea publică a incidentului la cererea guvernului SUA, probabil pentru a acorda suficient timp pentru securizarea sistemelor critice.
F5 afirmă că incidentul nu are un impact semnificativ asupra operațiunilor sale. Toate serviciile rămân disponibile și sunt considerate sigure, pe baza celor mai recente dovezi disponibile.
F5 este cea mai recentă companie de tehnologie din ultimii ani care a fost piratată de hackeri guvernamentali, inclusiv Microsoft de către China și Rusia, de cel puțin două ori; firma de tehnologie cloud și enterprise Hewlett Packard Enterprise și alte câteva companii, ca parte a unui atac cibernetic rus mai amplu asupra producătorului de software SolarWinds.
