Binlerce ağ; çoğu Federal hükümet Çarşamba günü yaptığı uyarıda, bunların büyük bir kısmının ABD hükümeti ve Fortune 500 şirketleri tarafından işletilen büyük bir yazılım üreticisinin ihlalinin ardından bir ulus-devlet bilgisayar korsanlığı grubu tarafından ihlal edilmeye yönelik “yakın bir tehditle” karşı karşıya olduğu konusunda uyardı.
Seattle merkezli bir ağ yazılımı üreticisi olan F5, ihlali Çarşamba günü açıkladı. F5, adı açıklanmayan bir ulus devlet hükümeti için çalışan “sofistike” bir tehdit grubunun gizlice ve ısrarla kendi ağında “uzun vadeli” olarak ikamet ettiğini söyledi. Geçmişte benzer saldırılara yanıt veren güvenlik araştırmacıları, bu ifadeyi, bilgisayar korsanlarının yıllardır F5 ağının içinde olduğu anlamına geliyordu.
benzeri görülmemiş
F5, bu süre zarfında bilgisayar korsanlarının, F5’in dünyanın en büyük 50 şirketinin 48’i tarafından kullanıldığını söylediği bir dizi sunucu cihazı olan BIG IP için güncellemeler oluşturmak ve dağıtmak için şirketin kullandığı ağ bölümünün kontrolünü ele geçirdiğini söyledi. Çarşamba günkü açıklama, tehdit grubunun özel olarak keşfedilen ancak henüz yama yapılmayan güvenlik açıklarına ilişkin özel BIG-IP kaynak kodu bilgilerini indirdiğini söyleyerek devam etti. Bilgisayar korsanları ayrıca bazı müşterilerin ağlarında kullandıkları yapılandırma ayarlarını da ele geçirdi.
Yapı sisteminin kontrolü ve kaynak koduna erişim, müşteri yapılandırmaları ve yamalı güvenlik açıklarının belgelenmesi, bilgisayar korsanlarına zayıf noktalar hakkında eşi benzeri görülmemiş bilgi sağlama ve çoğu hassas olan binlerce ağdaki tedarik zinciri saldırılarında bunlardan yararlanma yeteneği verme potansiyeline sahiptir. F5 ve dış güvenlik uzmanları, müşteri yapılandırmalarının ve diğer verilerin çalınmasının hassas kimlik bilgilerinin kötüye kullanılması riskini daha da artırdığını söyledi.
Müşteriler, yük dengeleyici ve güvenlik duvarı olarak kullanılmak ve ağlara giren ve çıkan verilerin denetlenmesi ve şifrelenmesi için BIG-IP’yi ağlarının en ucuna yerleştirir. BIG-IP’nin ağ konumu ve web sunucularının trafiğini yönetmedeki rolü göz önüne alındığında, önceki saldırılar, saldırganların virüslü bir ağın diğer bölümlerine erişimlerini genişletmesine olanak tanımıştı.
F5, dışarıdan izinsiz girişlere müdahale eden iki firma tarafından yürütülen soruşturmalarda henüz tedarik zinciri saldırılarına dair herhangi bir kanıt bulamadığını söyledi. Şirket, IOActive ve NCC Group firmalarından gelen, kaynak kodu ve yapım hattı analizlerinde “tehdit aktörünün kapsam dahilindeki öğelerde herhangi bir güvenlik açığını değiştirdiğine veya bu öğelere herhangi bir güvenlik açığı oluşturduğuna” dair hiçbir işaret ortaya çıkarmadığını doğrulayan mektupları ekledi. Firmalar ayrıca sistemde kritik güvenlik açıklarına dair herhangi bir kanıt tespit etmediklerini söyledi. Aralarında Mandiant ve CrowdStrike’ın da bulunduğu araştırmacılar, CRM, finans, destek vaka yönetimi veya sağlık sistemlerinden gelen verilere erişildiğine dair hiçbir kanıt bulamadı.
Şirket BIG-IP, F5OS, BIG-IQ ve APM ürünleri için güncellemeler yayınladı. CVE tanımlamaları ve diğer ayrıntılar burada. İki gün önce F5, BIG-IP imzalama sertifikalarını rotasyona tabi tuttu ancak bu hareketin ihlale tepki olarak yapıldığına dair hemen bir onay gelmedi.