Milhares de redes – muitas deles operados pelo governo dos EUA e por empresas da Fortune 500 – enfrentam uma “ameaça iminente” de serem violados por um grupo de hackers estatal após a violação de um grande fabricante de software, alertou o governo federal na quarta-feira.
F5, fabricante de software de rede com sede em Seattle, divulgou a violação na quarta-feira. F5 disse que um grupo de ameaças “sofisticado” que trabalhava para um governo de um estado-nação não revelado permaneceu sub-repticia e persistentemente em sua rede por um “longo prazo”. Pesquisadores de segurança que responderam a intrusões semelhantes no passado interpretaram a linguagem como significando que os hackers estavam dentro da rede F5 por anos.
Sem precedentes
Durante esse período, disse a F5, os hackers assumiram o controle do segmento de rede que a empresa usa para criar e distribuir atualizações para o BIG IP, uma linha de dispositivos de servidor que a F5 diz é usado por 48 das 50 maiores corporações do mundo. A divulgação de quarta-feira dizia que o grupo de ameaças baixou informações proprietárias do código-fonte BIG-IP sobre vulnerabilidades que foram descobertas de forma privada, mas ainda não corrigidas. Os hackers também obtiveram configurações que alguns clientes usaram dentro de suas redes.
O controle do sistema de construção e o acesso ao código-fonte, às configurações do cliente e à documentação de vulnerabilidades não corrigidas tem o potencial de dar aos hackers um conhecimento sem precedentes dos pontos fracos e a capacidade de explorá-los em ataques à cadeia de suprimentos em milhares de redes, muitas das quais são sensíveis. O roubo de configurações de clientes e outros dados aumenta ainda mais o risco de abuso de credenciais confidenciais, disseram especialistas em segurança externos e da F5.
Os clientes posicionam o BIG-IP na extremidade de suas redes para uso como balanceadores de carga e firewalls e para inspeção e criptografia de dados que entram e saem das redes. Dada a posição de rede do BIG-IP e seu papel no gerenciamento de tráfego para servidores web, compromissos anteriores permitiram que adversários expandissem seu acesso a outras partes de uma rede infectada.
A F5 disse que as investigações realizadas por duas empresas externas de resposta a intrusões ainda não encontraram qualquer evidência de ataques à cadeia de abastecimento. A empresa anexou cartas das empresas IOActive e NCC Group atestando que as análises do código-fonte e do pipeline de construção não revelaram sinais de que um “ator de ameaça modificou ou introduziu quaisquer vulnerabilidades nos itens dentro do escopo”. As empresas também disseram que não identificaram nenhuma evidência de vulnerabilidades críticas no sistema. Os investigadores, que também incluíram Mandiant e CrowdStrike, não encontraram nenhuma evidência de que dados de seus sistemas de CRM, financeiros, de gerenciamento de casos de suporte ou de saúde foram acessados.
A empresa lançou atualizações para seus produtos BIG-IP, F5OS, BIG-IQ e APM. As designações CVE e outros detalhes são aqui. Dois dias atrás, F5 girado Certificados de assinatura BIG-IP, embora não tenha havido confirmação imediata de que a mudança seja uma resposta à violação.
