A Agência de Segurança Cibernética e de Infraestrutura emitiu na quarta-feira uma ordem de emergência abrangente instruindo todas as agências federais a corrigir imediatamente vulnerabilidades críticas em certos dispositivos e software program fabricados pela F5, um fornecedor de tecnologia, após confirmar que um ator cibernético de um estado-nação obteve acesso não autorizado ao código-fonte da F5.
CISA – uma parte do Departamento de Segurança Interna que gerencia riscos para a infraestrutura física e cibernética dos EUA – emitiu Diretiva de Emergência 26-01 após a divulgação da empresa de que um ator de ameaça estrangeiro manteve acesso persistente e de longo prazo aos seus ambientes internos de desenvolvimento e engenharia usando código-fonte.
As autoridades alertaram que os invasores poderiam explorar as vulnerabilidades para roubar credenciais, mover-se lateralmente pelas redes e potencialmente assumir o controle complete dos sistemas visados. F5 disse que descobriu o ataque pela primeira vez em agosto, mas não revelou exatamente quando começou.
“Esta diretiva aborda um risco iminente”, disse Nick Anderson, Diretor Assistente Executivo de Segurança Cibernética da CISA, durante uma coletiva de imprensa na quarta-feira. “Um ator estatal poderia explorar essas falhas para obter acesso não autorizado a credenciais incorporadas e chaves de API. Esse é um risco inaceitável para as redes federais.”
F5 é uma empresa americana de tecnologia de capital aberto com sede em Seattle, Washington.
Departamento de Justiça atrasou anúncio de violação
Na quarta-feira, a F5 divulgou a violação em um documento enviado à Securities and Alternate Fee.
No Relatório SEC 8-KF5 disse que o Departamento de Justiça em 12 de setembro “determinou que um atraso na divulgação pública period justificado”. É uma das primeiras vezes que uma empresa reconhece publicamente a intervenção do DOJ sob o comando da SEC regras de divulgação de segurança cibernética.
As regras foram adotadas em julho de 2023 e exigem que as empresas comuniquem incidentes de segurança cibernética no prazo de quatro dias úteis após determinarem a ocorrência de um evento materials.
O CEO da F5, François Locoh-Donou, assinou o documento, que afirma que a empresa soube do ataque em 9 de agosto e lançou uma investigação junto com empresas de segurança cibernética CrowdStrikeMandiant e outros, com assistência de autoridades federais e “parceiros governamentais” não identificados.
“Durante o curso de sua investigação, a empresa determinou que o autor da ameaça manteve acesso persistente e de longo prazo a determinados sistemas F5, incluindo o ambiente de desenvolvimento de produtos BIG-IP e a plataforma de gerenciamento de conhecimento de engenharia”, escreveu F5 em seu processo.
A CBS Information entrou em contato com o Departamento de Justiça para obter qualquer explicação sobre o motivo do atraso na divulgação pública.
O que está no pedido de emergência CISA
Ordem da CISA dirigida Agências do Poder Executivo Civil Federal – que incluem o Departamento de Justiça, o Departamento de Estado, o Departamento do Tesouro e a Comissão Federal de Comércio, entre outros – para inventariar produtos F5 BIG-IP, que são serviços de entrega de aplicativos e segurança.
As agências federais precisam avaliar se suas redes são acessíveis pela Web pública e aplicar as atualizações recém-lançadas do F5 até 22 de outubro, disse a ordem de emergência. Eles também devem preencher relatórios de escopo identificando os dispositivos afetados até 29 de outubro.
Existem atualmente milhares de dispositivos F5 em uso nas redes federais, disse Anderson à CBS Information. A agência de segurança cibernética disse que espera saber mais sobre o escopo da exposição até o closing do mês.
O diretor interino da CISA, Madhu Gottumukkala, disse em comunicado que a agência permanece “firme” em sua missão de defender as redes dos EUA, mesmo em meio à crise. paralisação contínua do governo e a caducidade da Lei de Compartilhamento de Informações de Segurança Cibernética de 2015.
“A alarmante facilidade com que estas vulnerabilidades podem ser exploradas exige uma ação imediata e decisiva”, disse Gottumukkala. “Esses mesmos riscos se estendem além dos sistemas federais – para qualquer organização que make the most of esta tecnologia.”
Ainda não há compromissos confirmados, mas uma campanha mais ampla está em andamento
Anderson confirmou que a CISA não tem conhecimento de nenhuma violação de dados atual nas agências federais, embora a diretiva tenha como objetivo descobrir quaisquer comprometimentos potenciais. Ele disse que a campanha parece fazer parte de um esforço mais amplo do Estado-nação visando elementos da cadeia de fornecimento de tecnologia dos EUA, e não apenas um fornecedor.
“O objetivo mais amplo aqui é o acesso persistente – coletar inteligência, manter a infraestrutura como refém ou se posicionar para ataques futuros”, disse Anderson à CBS Information durante o briefing de quarta-feira.
A CISA recusou-se a identificar o país por trás do ataque, citando investigações em andamento.
“O governo dos EUA não está fazendo uma atribuição pública neste momento”, disse Marcy McCarthy, Diretora de Assuntos Públicos da CISA.
Em declaração à CBS Information, o Chefe de Inteligência de Ameaças da Unidade 42, uma equipe de especialistas e pesquisadores em segurança cibernética da Redes Palo Altodisse que o roubo do código-fonte do F5 BIG-IP é “significativo, pois potencialmente facilita a rápida exploração de vulnerabilidades”.
“Geralmente, se um invasor rouba código-fonte, leva tempo para encontrar problemas exploráveis”, disse o diretor de tecnologia da Unidade 42, Michael Sikorski. “Neste caso, eles também roubaram informações sobre vulnerabilidades não divulgadas que a F5 estava trabalhando ativamente para corrigir. Isso fornece aos atores da ameaça a capacidade de explorar vulnerabilidades que não possuem correção pública, aumentando potencialmente a velocidade de criação de exploração”.
Trabalhando durante a paralisação do governo
Pressionado sobre a capacidade do governo de responder em meio a licenças e reduções de pessoal na CISA, Anderson reconheceu os desafios da agência, mas disse que ela continua operacional.
“Estamos sustentando funções essenciais e fornecendo orientações oportunas como esta para mitigar riscos”, disse ele. “Este é o trabalho missionário central da CISA – exatamente o que deveríamos estar fazendo.”
Anderson também disse que a caducidade da Lei de Compartilhamento de Informações de Segurança Cibernética de 2015, uma lei que regia o compartilhamento de informações cibernéticas do setor privado federal antes do encerramento, não atrasou a coordenação com a F5 nem impactou a resposta da agência.
Embora a diretiva se aplique apenas a agências federais, a CISA insta fortemente as organizações estaduais, locais e do setor privado que utilizam tecnologias F5 a seguirem as mesmas etapas de correção e mitigação. Os produtos da F5, incluindo sua linha BIG-IP, são amplamente utilizados em redes governamentais e comerciais para gerenciar o tráfego e a segurança da Web.
