Incydent w F5. Sprawcy z długoterminowym dostępem do systemów
Autor. Freepik.com
Firma F5 poinformowała o incydencie bezpieczeństwa, który został zidentyfikowany w sierpniu. Do niektórych systemów przedsiębiorstwa uzyskał dostęp aktor zagrożeń, działający na zlecenie państwa trzeciego, dzięki czemu pobrał niektóre pliki dotyczące produktu BIG-IP. Zapewniono, że nieautoryzowany dostęp został odcięty, zaś usługi firmy otrzymały specjalne aktualizacje.
Gdy w zeszłym roku doszło do ataku na amerykańskie telekomy, agencje cyberbezpieczeństwa USA, Australii, Nowej Zelandii i Kanady ostrzegały, że pomimo zażegnania niebezpieczeństwa nie było pewności, że aktorzy zagrożeń zostali wyparci z systemów. Utrzymywanie przez nich dostępu przez długi czas jest jednym z najpoważniejszych zagrożeń dla bezpieczeństwa organizacji.
Hakerzy w systemach F5
Ostatnie informacje opublikowane przez amerykańskie przedsiębiorstwo F5 pokazują, że problem w dalszym ciągu jest aktualny. W sierpniu firma zidentyfikowała nieautoryzowany dostęp do kilku ze swoich systemów, który miał charakter „długoterminowy”. Jako sprawcę wskazano aktora zagrożeń działającego na zlecenie państwa trzeciego.
Według komunikatu F5, w gronie systemów dotkniętych incydentem znalazły się m.in. środowisko rozwojowe produktu BIG-IP (load balancer, przekierowujący ruch z przeciążonych serwerów) czy platforma zarządzania wiedzą.
„Podjęliśmy szeroko zakrojone działania mające na celu powstrzymanie aktora zagrożeń. Od momentu rozpoczęcia tych działań nie odnotowaliśmy żadnych nowych nieautoryzowanych działań i uważamy, że nasze wysiłki w zakresie powstrzymania zagrożenia zakończyły się sukcesem” – zaznaczyło przedsiębiorstwo w swoim stanowisku.
Czytaj też
Dane nie wyciekły, ale...
F5 nie ograniczyło się jednak do zdawkowego komunikatu. Potwierdzono, że sprawcy incydentu nie wykradli danych z systemów finansowych, wsparcia czy CRM. Z drugiej strony, wśród plików pobranych przez aktorów znalazły się pliki konfiguracyjne pochodzące z platformy zarządzania wiedzą, czy ze środowiska BIG-IP. W tym drugim przypadku zawierały one fragmenty kodu źródłowego produktu oraz informacje o nieujawnionych podatnościach.
„Nie posiadamy informacji na temat nieujawnionych krytycznych luk w zabezpieczeniach i nie jesteśmy świadomi aktywnego wykorzystywania jakichkolwiek nieujawnionych podatności w zabezpieczeniach F5” – podkreślono w komunikacie.
Nie znaleziono również dowodów na tezę, jakoby sprawcy incydentu dokonali modyfikacji w zakresie łańcucha dostaw, kodu źródłowego czy publicznej wersji oprogramowania. Miały to potwierdzić zewnętrzne, czołowe firmy z zakresu cyberbezpieczeństwa. Aktorzy zagrożeń mieli również nie uzyskać dostępu do systemów Distributed Cloud Services i Silverine.
Aktualizacje i monitoring
Jak w tej sytuacji powinny zareagować podmioty korzystające z usług F5? Firma w pierwszej kolejności zaleca aktualizację oprogramowania BIG-IP, które otrzymało już stosowne łatki. Co istotne, należy to zrobić jak najszybciej to możliwe. Rekomenduje się również włączenie monitoringu prób logowania, czy identyfikację możliwych zagrożeń na podstawie specjalnego poradnika.
„Zobowiązujemy się wyciągnąć wnioski z tego zdarzenia i podzielić się nimi z szerszym środowiskiem zajmującym się bezpieczeństwem” – zadeklarowało F5.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?