Milhares de redes—muitas delas operadas pelo governo dos EUA e por empresas da Fortune 500—enfrentam uma “ameaça iminente” de serem invadidas por um grupo de hackers de um estado-nação após a violação de um importante fabricante de software, alertou o governo federal na quarta-feira.
A F5, uma empresa de software de rede com sede em Seattle, divulgou a violação na quarta-feira. A F5 disse que um grupo de ameaças “sofisticado” trabalhando para um governo de estado-nação não divulgado havia habitado de forma encoberta e persistente sua rede ao longo de um “longo prazo”. Pesquisadores de segurança que responderam a intrusões semelhantes no passado interpretaram a linguagem como significando que os hackers estavam dentro da rede da F5 por anos.
Sem precedentes
Durante esse tempo, a F5 disse que os hackers tomaram controle do segmento de rede que a empresa usa para criar e distribuir atualizações para o BIG-IP, uma linha de aparelhos de servidor que a F5 afirma ser usada por 48 das 50 principais corporações do mundo. A divulgação de quarta-feira também afirmou que o grupo de ameaças baixou informações de código-fonte do BIG-IP sobre vulnerabilidades que haviam sido descobertas privadamente, mas ainda não corrigidas. Os hackers também obtiveram configurações que alguns clientes usaram dentro de suas redes.
O controle do sistema de construção e o acesso ao código-fonte, configurações de clientes e documentação de vulnerabilidades não corrigidas têm o potencial de dar aos hackers um conhecimento sem precedentes das fraquezas e a capacidade de explorá-las em ataques à cadeia de suprimentos em milhares de redes, muitas das quais são sensíveis. O roubo de configurações de clientes e outros dados aumenta ainda mais o risco de que credenciais sensíveis possam ser abusadas, disseram a F5 e especialistas de segurança externos.
Os clientes posicionam o BIG-IP na borda de suas redes para uso como balanceadores de carga e firewalls, e para inspeção e criptografia de dados que passam para dentro e para fora das redes. Dada a posição de rede do BIG-IP e seu papel na gestão do tráfego para servidores web, compromissos anteriores permitiram que adversários expandissem seu acesso a outras partes de uma rede infectada.
A F5 disse que investigações de duas empresas externas de resposta a intrusões ainda não encontraram nenhuma evidência de ataques à cadeia de suprimentos. A empresa anexou cartas das firmas IOActive e NCC Group atestando que análises de código-fonte e pipeline de construção não descobriram sinais de que um “ator de ameaça modificou ou introduziu quaisquer vulnerabilidades nos itens em questão.” As empresas também disseram que não identificaram nenhuma evidência de vulnerabilidades críticas no sistema. Investigadores, que também incluíram Mandiant e CrowdStrike, não encontraram evidências de que dados de seu CRM, financeiros, gerenciamento de casos de suporte ou sistemas de saúde foram acessados.
A empresa lançou atualizações para seus produtos BIG-IP, F5OS, BIG-IQ e APM. As designações CVE e outros detalhes estão aqui. Dois dias atrás, a F5 rotacionou certificados de assinatura do BIG-IP, embora não haja confirmação imediata de que a medida seja em resposta à violação.
A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA alertou que agências federais que dependem do aparelho enfrentam uma “ameaça iminente” devido aos roubos, que “representam um risco inaceitável.” A agência seguiu em frente e direcionou as agências federais sob seu controle a tomar “ações de emergência.” O Centro Nacional de Segurança Cibernética do Reino Unido emitiu uma diretiva semelhante.
A CISA ordenou que todas as agências federais que supervisiona realizem imediatamente um inventário de todos os dispositivos BIG-IP nas redes que administram ou em redes que provedores externos gerenciam em seu nome. A agência também orientou as agências a instalarem as atualizações e seguirem um guia de caça a ameaças que a F5 também emitiu. Usuários do BIG-IP na indústria privada devem fazer o mesmo.