Американската Агенция за киберсигурност и сигурност на инфраструктурата (CISA) издаде спешна директива, с която нарежда на всички федерални агенции незабавно да актуализират софтуера и устройствата на F5 Networks, след като беше разкрито, че държавно спонсорирани хакери са проникнали в системите на компанията.
Ключови факти:
-
Атакуващите са компрометирали системи на F5, като са получили достъп до изходен код, вътрешни ресурси и информация за неразкрити уязвимости.
-
Според CISA, тези уязвимости могат да бъдат използвани за неоторизиран достъп до чувствителни данни и за установяване на постоянен контрол върху компрометираните системи.
-
Федералните агенции и всички организации, използващи устройства на F5, са призовани незабавно да инсталират наличните обновления, за да предотвратят потенциално „катастрофално“ компрометиране.
Директивата на CISA беше издадена веднага след като F5 публично потвърди инцидента чрез съобщение за сигурността на официалния си сайт.
„Лекотата, с която тези уязвимости могат да бъдат експлоатирани от злонамерени лица, изисква незабавни и решителни действия от всички федерални агенции,“ заяви изпълняващият длъжността директор на CISA, Мадху Готумукала.
Засегнати продукти и актуализации
F5 вече е публикувала критични обновления за всички застрашени физически и виртуални устройства, включително:
-
BIG-IP
-
F5OS
-
BIG-IP Next for Kubernetes
-
BIG-IQ
-
APM клиенти
CISA подчерта, че същите рискове засягат и частния сектор, тъй като уязвимостите във F5 технологии могат да доведат до сериозни пробиви в корпоративни инфраструктури.
Как е извършен пробивът
F5 разкри, че през август висококвалифицирана APT група, свързана с държава, е проникнала в мрежата на компанията и е изтеглила файлове от определени вътрешни системи. Засегнатите среди включват развойната среда на BIG-IP, както и вътрешната платформа за управление на инженерни знания, съдържаща части от изходния код и информация за уязвимости, които все още не са били поправени.
Компанията уточнява, че няма доказателства за изтичане на данни от CRM системи, финансови среди или платформите за клиентска поддръжка и диагностика (iHealth). Въпреки това, е установено, че ограничено количество клиентска конфигурационна информация е било компрометирано, като засегнатите организации ще бъдат уведомени лично.
Мерки и партньорства за сигурност
F5 е ангажирала CrowdStrike, Mandiant и други независими експерти, за да засилят сигурността на корпоративните и продуктови среди. Компанията предостави и нови инструменти за защита, включително:
-
Ръководство за лов на заплахи (Threat Hunting Guide);
-
Автоматични проверки за засилване на сигурността чрез F5 iHealth Diagnostic Tool;
-
Инструкции за SIEM интеграция и мониторинг.
От F5 уверяват, че след откриването на пробива не е наблюдавана нова неоторизирана активност, а веригата на доставките и изходният код на NGINX, Silverline и Distributed Cloud Services не са били засегнати.
Инцидентът подчертава растящата заплаха от държавно спонсорирани кибератаки и нуждата от бърза реакция и постоянна актуализация на системите. CISA предупреждава, че забавянето на обновяванията може да доведе до „пълна компрометация“ на критични инфраструктури и призовава всички организации, използващи F5 технологии, да предприемат незабавни действия.
