Incydent w F5. Sprawcy z długoterminowym dostępem do systemów [AKTUALIZACJA]

Gdy w zeszłym roku doszło do ataku na amerykańskie telekomy, agencje cyberbezpieczeństwa USA, Australii, Nowej Zelandii i Kanady ostrzegały, że pomimo zażegnania niebezpieczeństwa nie było pewności, że aktorzy zagrożeń zostali wyparci z systemów. Utrzymywanie przez nich dostępu przez długi czas jest jednym z najpoważniejszych zagrożeń dla bezpieczeństwa organizacji.

Hakerzy w systemach F5

Ostatnie informacje opublikowane przez amerykańskie przedsiębiorstwo F5 pokazują, że problem w dalszym ciągu jest aktualny. W sierpniu firma zidentyfikowała nieautoryzowany dostęp do kilku ze swoich systemów, który miał charakter „długoterminowy”. Jako sprawcę wskazano aktora zagrożeń działającego na zlecenie państwa trzeciego.

Według komunikatu F5, w gronie systemów dotkniętych incydentem znalazły się m.in. środowisko rozwojowe produktu BIG-IP (load balancer, przekierowujący ruch z przeciążonych serwerów) czy platforma zarządzania wiedzą.

„Podjęliśmy szeroko zakrojone działania mające na celu powstrzymanie aktora zagrożeń. Od momentu rozpoczęcia tych działań nie odnotowaliśmy żadnych nowych nieautoryzowanych działań i uważamy, że nasze wysiłki w zakresie powstrzymania zagrożenia zakończyły się sukcesem” – zaznaczyło przedsiębiorstwo w swoim stanowisku.

Dane nie wyciekły, ale...

F5 nie ograniczyło się jednak do zdawkowego komunikatu. Potwierdzono, że sprawcy incydentu nie wykradli danych z systemów finansowych, wsparcia czy CRM. Z drugiej strony, wśród plików pobranych przez aktorów znalazły się pliki konfiguracyjne pochodzące z platformy zarządzania wiedzą, czy ze środowiska BIG-IP. W tym drugim przypadku zawierały one fragmenty kodu źródłowego produktu oraz informacje o nieujawnionych podatnościach.

„Nie posiadamy informacji na temat nieujawnionych krytycznych luk w zabezpieczeniach i nie jesteśmy świadomi aktywnego wykorzystywania jakichkolwiek nieujawnionych podatności w zabezpieczeniach F5” – podkreślono w komunikacie.

Nie znaleziono również dowodów na tezę, jakoby sprawcy incydentu dokonali modyfikacji w zakresie łańcucha dostaw, kodu źródłowego czy publicznej wersji oprogramowania. Miały to potwierdzić zewnętrzne, czołowe firmy z zakresu cyberbezpieczeństwa. Aktorzy zagrożeń mieli również nie uzyskać dostępu do systemów Distributed Cloud Services i Silverine.

Aktualizacje i monitoring

Jak w tej sytuacji powinny zareagować podmioty korzystające z usług F5? Firma w pierwszej kolejności zaleca aktualizację oprogramowania BIG-IP, które otrzymało już stosowne łatki. Co istotne, należy to zrobić jak najszybciej to możliwe. Rekomenduje się również włączenie monitoringu prób logowania, czy identyfikację możliwych zagrożeń na podstawie specjalnego poradnika.

„Zobowiązujemy się wyciągnąć wnioski z tego zdarzenia i podzielić się nimi z szerszym środowiskiem zajmującym się bezpieczeństwem” – zadeklarowało F5.

CISA: poważne ryzyko dla sieci federalnych

Swoje stanowisko w sprawie incydentu w F5 opublikowała również Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Jak czytamy w dyrektywie nadzwyczajnej wydanej przez Agencję, zidentyfikowano poważne cyberzagrożenie, którego celem są sieci federalne wykorzystujące usługi i oprogramowanie F5.

Dostęp aktora zagrożeń do zastrzeżonego kodu źródłowego F5 może zapewnić mu przewagę techniczną umożliwiającą wykorzystanie urządzeń i oprogramowania F5, (a także – red.) przeprowadzenie analizy statycznej i dynamicznej w celu identyfikacji błędów logicznych i luk typu zero-day, a także opracowanie ukierunkowanych exploitów.
Dyrektywa nadzwyczajna Agencji Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury

Wszystkie agencje otrzymały nakaz wdrożenia najnowszych aktualizacji dla zagrożonych urządzeń i programów F5. Termin instalacji tychże upływa 22 października, zaś składanie raportów dotyczących ukończenia procesu jest możliwe do 29 października.

CISA zaprzeczyła jednocześnie, jakby w wyniku incydentu doszło do wycieku danych. Nie podano również, które państwo miało wspierać aktora zagrożeń w jego działaniach.