Les responsables informatiques et de la sécurité devraient installer les derniers correctifs du fournisseur de fourniture d’applications et de sécurité après un piratage présumé au niveau d’un État-nation.
En réponse à cette divulgation, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ordonné aujourd’hui aux agences civiles fédérales d’évaluer si leurs appareils BIG-IP sont accessibles depuis l’Internet public et d’appliquer les mises à jour de F5.
« Cet acteur de la cybermenace présente une menace imminente pour les réseaux fédéraux utilisant des appareils et des logiciels F5 », indique l’avertissement de la CISA. « Une exploitation réussie des produits F5 concernés pourrait permettre à un acteur malveillant d’accéder aux informations d’identification intégrées et aux clés d’interface de programmation d’application (API), de se déplacer latéralement au sein du réseau d’une organisation, d’exfiltrer des données et d’établir un accès persistant au système. Cela pourrait potentiellement conduire à une compromission complète des systèmes d’information cibles. «
F5 a publié des mises à jour pour les clients BIG-IP, F5OS, BIG-IP Next pour Kubernetes, BIG-IQ et APM. « Nous vous conseillons fortement de mettre à jour ces nouvelles versions dès que possible », a indiqué la société.
F5, connu pour ses produits de fourniture d’applications et de sécurité, notamment ses passerelles Web et sa gestion du contrôle d’accès, a refusé une demande d’interview pour plus de détails, renvoyant plutôt un journaliste à sa déclaration.
Ce qui a été pris
Dans le communiqué, F5 a déclaré que l’acteur malveillant avait exfiltré des fichiers de l’environnement de développement de produits BIG-IP et des plateformes de gestion des connaissances techniques. « Ces fichiers contenaient une partie de notre code source BIG-IP et des informations sur les vulnérabilités non divulguées sur lesquelles nous travaillions dans BIG-IP. Nous n’avons aucune connaissance de vulnérabilités critiques ou de code distant non divulguées, et nous n’avons connaissance d’aucune exploitation active de vulnérabilités F5 non divulguées. »
Jusqu’à présent, a-t-il déclaré, il n’y a aucune preuve d’accès ou d’exfiltration de données des systèmes de gestion de la relation client, financiers, de gestion des cas d’assistance ou d’iHealth de F5.
« Cependant », ajoute le communiqué, « certains des fichiers exfiltrés de notre plate-forme de gestion des connaissances contenaient des informations de configuration ou de mise en œuvre pour un petit pourcentage de clients. Nous examinons actuellement ces fichiers et communiquerons directement avec les clients concernés, le cas échéant. »
Il poursuit : « Nous n’avons aucune preuve de modification de notre chaîne d’approvisionnement en logiciels, y compris notre code source et nos pipelines de construction et de publication. Cette évaluation a été validée par des examens indépendants menés par les sociétés de recherche en cybersécurité NCC Group et IOActive. Il n’y a aucune preuve que l’acteur malveillant ait accédé ou modifié le code source ou l’environnement de développement de produits NGINX. NGINX est un serveur Web open source pour le proxy inverse, l’équilibrage de charge et la mise en cache, et il n’y a aucune preuve qu’il ait accédé ou modifié le F5. Services cloud distribués ou systèmes Silverline.
F5 attribue l’attaque à un « acteur menaçant d’État-nation très sophistiqué ». Il n’a pas révélé depuis combien de temps le pirate informatique était actif dans son environnement.
Quant aux raisons pour lesquelles la révélation de l’attaque est rendue publique aujourd’hui, dans sa divulgation à la Securities and Exchange Commission des États-Unis, F5 a déclaré que le 12 septembre, le ministère américain de la Justice a déterminé qu’un retard dans la divulgation publique était justifié. Les périphériques réseau critiques tels que les pare-feu, les passerelles Web, les passerelles de messagerie et autres dispositifs similaires sont depuis longtemps des cibles pour les acteurs malveillants en tant que points d’entrée aux réseaux informatiques, comme l’illustre la récente révélation de SonicWall selon laquelle les données de sa plate-forme de sauvegarde cloud MySonicWall avaient été compromises, et l’avertissement CISA du mois dernier selon lequel les acteurs malveillants ciblaient les appliances de sécurité adaptatives (ASA) de Cisco Systems en exploitant les vulnérabilités du jour zéro.
Atténuations F5
Les responsables informatiques et de la sécurité doivent s’assurer que les serveurs, les logiciels et les clients F5 disposent des derniers correctifs. En outre, F5 a ajouté des contrôles de renforcement automatisés à l’outil de diagnostic F5 iHealth et suggère également aux administrateurs de se référer à son guide de chasse aux menaces pour renforcer la surveillance, ainsi qu’à ses guides de bonnes pratiques pour renforcer les systèmes F5.
À la suite de l’attaque, F5 a déclaré avoir alterné les informations d’identification et renforcé les contrôles d’accès sur l’ensemble de ses systèmes ; déployé une automatisation améliorée de la gestion des inventaires et des correctifs, ainsi que des outils supplémentaires pour mieux surveiller, détecter et répondre aux menaces ; a apporté des améliorations à son architecture de sécurité réseau et renforcé son environnement de développement de produits, notamment en renforçant les contrôles de sécurité et la surveillance de toutes les plateformes de développement de logiciels.
F5 fournira également à tous les clients pris en charge un abonnement gratuit au service de protection des points de terminaison Falcon EDR de CrowdStrike.
Les informations volées pourraient alimenter de futures attaques
Sur la base des informations actuellement divulguées sur l’ampleur de l’incident et des données volées, il n’y a aucune raison de paniquer », a commenté Ilia Kolochenko, PDG d’ImmuniWeb, dans un communiqué. « Cela dit, le code source volé peut grandement simplifier la recherche de vulnérabilité par les cybercriminels à l’origine de la violation et faciliter la détection des vulnérabilités 0day dans les produits F5 concernés, qui pourraient être exploitées ultérieurement. Attaques APT. De même, le faible pourcentage de clients dont les informations techniques ont été compromises devraient évaluer de toute urgence leurs risques et continuer à travailler avec F5 pour mieux comprendre l’impact de l’incident.
Cette attaque est un autre rappel que la surface d’attaque moderne s’étend profondément dans le cycle de vie du développement logiciel, a déclaré Will Baxter, RSSI de terrain chez Team Cymru, dans un communiqué. « Les groupes de menaces ciblant les référentiels de code source et les environnements de construction recherchent une valeur de renseignement à long terme, en comprenant comment les contrôles de sécurité fonctionnent de l’intérieur », a-t-il déclaré. « La visibilité sur les connexions sortantes, l’infrastructure de commandement et de contrôle des acteurs menaçants et les modèles inhabituels d’exfiltration de données est essentielle pour identifier cette activité à un stade précoce. La combinaison des renseignements sur les menaces externes avec la télémétrie interne donne aux défenseurs le contexte nécessaire pour détecter et contenir ces intrusions avancées. »
Il ne s’agit pas d’une exploitation opportuniste, a-t-il ajouté. « Il s’agissait d’obtenir un aperçu du code et des vulnérabilités avant leur divulgation. Les groupes parrainés par l’État considèrent de plus en plus les référentiels sources et les systèmes d’ingénierie comme des cibles de renseignement stratégique. La détection précoce dépend de la surveillance des connexions sortantes, du trafic de commande et de contrôle et des flux de données inhabituels provenant des environnements de développement et de construction. La combinaison des renseignements sur les menaces externes avec la télémétrie interne donne aux défenseurs le contexte nécessaire pour identifier et contenir ces campagnes avant que le code volé ne soit transformé. en zéro jour.
