İnternet güvenliği kar amacı gütmeyen Shadowserver Foundation, bu hafta siber güvenlik şirketi F5 tarafından açıklanan güvenlik ihlalinin ardından 266.000’den fazla F5 BIG-IP örneğinin çevrimiçi ortamda açığa çıktığını tespit etti.
Şirket Çarşamba günü, ulus devlet korsanlarının ağını ihlal ettiğini ve kaynak kodunu ve açıklanmayan BIG-IP güvenlik kusurlarına ilişkin bilgileri çaldığını, ancak saldırganların saldırılarda açıklanmayan güvenlik açıklarını sızdırdığına veya istismar ettiğine dair hiçbir kanıt bulamadığını açıkladı.
Aynı gün F5, 44 güvenlik açığını (siber saldırıda çalınanlar dahil) gidermek için yamalar yayınladı ve müşterilerini cihazlarını mümkün olan en kısa sürede güncellemeye çağırdı.
Şirket, “BIG-IP, F5OS, Kubernetes için BIG-IP Next, BIG-IQ ve APM istemcilerine yönelik güncellemeler şu anda mevcut” dedi. “Açıklanmayan kritik veya uzaktan kod yürütme güvenlik açıkları hakkında hiçbir bilgimiz olmasa da, BIG-IP yazılımınızı mümkün olan en kısa sürede güncellemenizi önemle tavsiye ederiz.”
Bloomberg’in Perşembe günkü raporuna göre F5, bunu henüz kamuya açıklamamış olsa da müşterileriyle paylaştığı özel tavsiyelerde saldırıyı Çin’le ilişkilendirdi.
F5 ayrıca müşterileriyle, ilk kez Nisan 2024’te UNC5291 Çin nexus tehdit grubu tarafından düzenlenen saldırılara ilişkin bir soruşturma sırasında Google tarafından tespit edilen Go tabanlı bir arka kapı olan Brickstorm kötü amaçlı yazılımından bahseden bir tehdit avlama kılavuzunu da müşterileriyle paylaşıyor. F5 ayrıca müşterilere tehdit aktörlerinin şirketin ağında en az bir yıldır aktif olduğunu söyledi.
UNC5291 daha önce Zipline ve Spawnant gibi özel kötü amaçlı yazılımlar kullanarak devlet kurumlarını hedef alan saldırılarda Ivanti’nin sıfır günlerinden faydalanmakla bağlantılıydı.
Shadowserver İnternet gözlemci grubu şu anda F5 BIG-IP parmak iziyle 266.978 IP adresini izliyor; bunların neredeyse yarısı (142.000’den fazlası) Amerika Birleşik Devletleri’nde ve diğer 100.000’i Avrupa ve Asya’da.
Ancak bunlardan kaçının bu hafta açıklanan BIG-IP güvenlik açıklarından yararlanma potansiyeline sahip saldırılara karşı halihazırda güvence altına alındığına dair bir bilgi yok.
Bu hafta CISA ayrıca, ABD federal kurumlarına 22 Ekim’e kadar en son F5 güvenlik yamalarını yükleyerek F5OS, BIG-IP TMOS, BIG-IQ ve BNK/CNF ürünlerini güvence altına almalarını zorunlu kılan bir acil durum direktifi yayınladı; ağlarındaki diğer tüm F5 donanım ve yazılım cihazları için ise son tarihi 31 Ekim’e kadar uzattı.
CISA ayrıca, artık yama almayacakları ve saldırılarda kolayca tehlikeye girebilecekleri için, desteğin sonuna ulaşmış, İnternet’e açık tüm F5 cihazlarının bağlantısını kesmelerini ve hizmet dışı bırakmalarını emretti.
Siber güvenlik kurumu, “CISA, Federal Sivil Yürütme Organı (FCEB) kurumlarını F5 BIG-IP ürünlerinin envanterini çıkarmaya, ağ bağlantılı yönetim arayüzlerine kamuya açık internetten erişilip erişilemeyeceğini değerlendirmeye ve F5’ten gelen güncellemeleri uygulamaya yönlendiriyor” dedi.
Son yıllarda hem ulus devlet hem de siber suç tehdit grupları, dahili sunucuları haritalandırmak, kurbanların ağlarındaki cihazları ele geçirmek, kurumsal ağlara sızmak, hassas dosyaları çalmak ve verileri silen kötü amaçlı yazılımları dağıtmak için BIG-IP güvenlik açıklarını hedef alıyor.
Güvenliği ihlal edilmiş F5 BIG-IP cihazları, tehdit aktörlerinin kimlik bilgilerini ve Uygulama Programlama Arayüzü (API) anahtarlarını çalmasına, hedef ağlarda yatay olarak hareket etmesine ve kalıcılık oluşturmasına da olanak tanıyabilir.
F5, Fortune 50 şirketlerinden 48’i de dahil olmak üzere dünya çapında 23.000’den fazla müşteriye siber güvenlik, uygulama dağıtım ağı (ADN) ve hizmetler sağlayan bir Fortune 500 teknoloji devidir.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.