Mit jelent ez? – A BIG-IP rendszerek és az ellopott kód
Az F5 BIG-IP a világ legnagyobb vállalatainak egyik kedvenc infrastruktúrája, 23 ezer ügyfél használja 170 országban, köztük a Fortune 50-ből 48 vállalat is. Ez a platform kulcsfontosságú szerepet játszik az alkalmazások forgalmának és biztonságának felügyeletében.
A hackerek olyan adatokat vittek el, amelyek a BIG-IP forráskódjának egyes részeit, részletes konfigurációkat és a még nyilvánosságra nem hozott sérülékenységek információit tartalmazták. Mindazonáltal nincs bizonyíték arra, hogy az ellopott adatokat már támadásokhoz használták volna, vagy hogy azok nyilvánosságra kerültek volna.
Az F5 biztosítja ügyfeleit, hogy a támadás nem érintette az ellátási láncot, vagyis a szoftverek eredetisége és sértetlensége továbbra is garantált. Ez alól kivételt képez a BIG-IP fejlesztői környezet, de más kulcsfontosságú rendszerek – például a CRM, a pénzügyi vagy az ügyfélszolgálati adatbázisok, valamint az NGINX, az F5 Distributed Cloud Services és a Silverline – nem károsodtak.
Intézkedések és külső audit
Az incidens felfedezése után az F5 azonnal megerősítette rendszerei biztonságát: teljes körű jelszómódosítást hajtott végre, szigorította a hozzáférési szabályokat, fejlettebb fenyegetésfigyelő eszközöket, automatizált készlet- és hibakezelést vezetett be. A hálózati védelmet is magasabb szintre emelték, valamint átalakították a fejlesztői környezet biztonsági architektúráját.
Független kiberbiztonsági cégek, köztük az NCC Group és az IOActive is bevonásra kerültek: az NCC Group 76 tanácsadóval végzett alapos forráskódelemzést, az IOActive pedig a támadás után auditálta a kulcsfontosságú szoftverkomponenseket. Eddig semmilyen bizonyíték nem került elő arra, hogy a támadók új sebezhetőségeket vagy rosszindulatú kódot juttattak volna a termékekbe. Az F5 több vezető, független szervezettel is ellenőriztette a BIG-IP újabb verzióit, többek között a CrowdStrike-kal és a Mandianttal.
Mit kell tenniük az ügyfeleknek?
A vállalat folyamatosan azonosítja, mely ügyfelek adatai kerülhettek veszélybe, és személyesen értesíti őket a szükséges lépésekről. Minden ügyfél számára sürgősen ajánlott a BIG-IP, az F5OS, a BIG-IP Next for Kubernetes, a BIG-IQ és az APM kliensek legfrissebb verziójának telepítése.
Az F5 támogatói útmutatókat tett közzé a kockázatok mérséklése és a fenyegetések gyorsabb felismerése érdekében. Az új legjobb gyakorlatok között szerepel számos automatizált ellenőrző eszköz használata, amelyek beazonosítják és priorizálják a fennálló veszélyeket, valamint telepítési javallatokat is adnak.
Fontos kiemelni, hogy a brit National Cyber Security Centre (NCSC) és az amerikai CISA is javaslatot tett: minden F5 hardvert és szoftvert fel kell mérni, és meg kell akadályozni, hogy a vezérlőfelület az internet felől elérhető legyen. Ha ez mégis így lenne, azonnali incidensvizsgálatot írnak elő.
Végezetül: az F5 szerint a támadásnak nincs hatása a cég működésére, minden szolgáltatás zavartalanul működik, és a legfrissebb információk alapján a rendszerek biztonságosak.
