Riscurile pentru utilizatorii BIG-IP includ atacuri asupra lanțului de aprovizionare, pierderea credențialelor și exploatarea vulnerabilităților. O serie de rețele importante, multe dintre ele gestionate de guvernul SUA și companii din topul Fortune 500, se confruntă cu o amenințare “iminentă” de a fi compromise de un grup de hackeri susținut de un stat național, a avertizat guvernul federal miercuri.
F5, o companie din Seattle care produce software de rețelistică, a dezvăluit miercuri că a fost victima unei breșe de securitate. F5 a declarat că un grup de amenințări „sofisticat”, care lucrează pentru un guvern național nedezvăluit, a fost prezent în mod secret și persistent în rețeaua sa pentru o perioadă „îndelungată”. Cercetătorii de securitate care au răspuns la intruziuni similare în trecut au interpretat aceste declarații ca indicând faptul că hackerii au fost în rețeaua F5 timp de ani de zile.
În această perioadă, F5 a spus că hackerii au preluat controlul asupra segmentului de rețea pe care compania îl folosește pentru a crea și distribui actualizări pentru BIG IP, o linie de servere pe care F5 susține că este utilizată de 48 dintre cele mai mari 50 de corporații la nivel mondial. Dezvăluirile de miercuri au continuat să afirme că grupul de amenințări a descărcat informații despre codul sursă BIG-IP, despre vulnerabilitățile descoperite privat, dar încă nepatchuite. Hackerii au obținut și setările de configurare pe care unii clienți le utilizau în interiorul rețelelor lor.
Controlul asupra sistemului de build și accesul la codul sursă, configurațiile clienților și documentația privind vulnerabilitățile nepatchuite are potențialul de a oferi hackerilor cunoștințe fără precedent despre slăbiciuni și capacitatea de a le exploata în atacuri asupra lanțului de aprovizionare pe mii de rețele, multe dintre ele sensibile. Furtul configurațiilor clienților și al altor date crește și mai mult riscul ca datele sensibile să fie abuzate, au spus F5 și experții externi în securitate.
Clienții plasează BIG-IP la marginea rețelelor lor pentru a fi utilizate ca balanțoare de sarcină și firewall-uri, precum și pentru inspectarea și criptarea datelor care intră și ies din rețele. Având în vedere poziția BIG-IP în rețea și rolul său în gestionarea traficului pentru serverele web, compromisurile anterioare au permis adversarilor să își extindă accesul la alte părți ale unei rețele infectate.
F5 a spus că investigațiile realizate de două firme externe de răspuns la intruziuni nu au găsit încă dovezi ale atacurilor asupra lanțului de aprovizionare. Compania a atașat scrisori de la firmele IOActive și NCC Group care atestă că analizele codului sursă și ale pipeline-ului de build nu au descoperit semne că un „actor de amenințare a modificat sau introdus vreo vulnerabilitate în elementele vizate”. Firmele au spus, de asemenea, că nu au identificat dovezi ale unor vulnerabilități critice în sistem. Investigații, care au inclus și firmele Mandiant și CrowdStrike, nu au găsit dovezi că datele din CRM-ul companiei, sistemele financiare, de gestionare a cazurilor de suport sau de sănătate au fost accesate.
Compania a lansat actualizări pentru produsele sale BIG-IP, F5OS, BIG-IQ și APM. Desemnările CVE și alte detalii pot fi găsite aici. Acum două zile, F5 a schimbat certificatele de semnătură BIG-IP, deși nu a fost confirmată imediat necesitatea acestei mișcări.
Poll: Care este cea mai mare preocupare pe care o aveți cu privire la breșa de securitate a companiei F5?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply