Az F5 óriási hackbotránya: állami hekkerek lopták el a forráskódot

Az F5 bejelentette, hogy egy fejlett, állami hátterű hekkercsoport feltörte a vállalat hálózatát, megszerezte a BIG-IP termékek forráskódját, több eddig ismeretlen sebezhetőség részleteit, valamint egyes ügyfelek konfigurációs adatait is. Bár az F5 szerint csupán a felhasználók kis százalékát érintette az eset, az ügy súlyosságát mutatja, hogy az amerikai igazságügyi minisztérium engedélyezte a bejelentés halasztását – erre kizárólag akkor kerül sor, ha nemzetbiztonsági vagy lakossági kockázat merül fel.

Hosszú hónapokon át tartó behatolás

A támadók hónapokig észrevétlenül fértek hozzá a BIG-IP termékfejlesztési és mérnöki platformokhoz. Bár az F5 szerint nincs információjuk arról, hogy az ellopott adatok között kritikus vagy távoli kódvégrehajtásra alkalmas sebezhetőség lenne, illetve eddig nem tapasztaltak ilyen típusú aktív visszaélést, a helyzet így is riasztó. A vállalat eredményeit független kutatócégekkel is ellenőriztette, akik megerősítették, hogy az NGINX forráskódja, valamint az F5 Distributed Cloud Services és a Silverline rendszerek nem kerültek veszélybe.

Nincs jele szoftver-ellátási lánc mérgezésnek

Az F5 szerint nem találtak bizonyítékot arra, hogy a hekkerek manipulálták volna a szoftver-ellátási láncot, így a forráskódot, a build vagy a release csatornákat. A vállalat a NGG, az IOActive, a CrowdStrike, a Google Mandiant biztonsági cégekkel, valamint rendvédelmi szervekkel dolgozott együtt a betolakodók kiszorításán. Azóta nem tapasztaltak további jogosulatlan műveletet, ezért a beavatkozást sikeresnek ítélik.

Kritikus frissítések minden ügyfélnek

Az F5 nyomatékosan javasolja minden érintettnek a BIG-IP, az F5OS, a BIG-IP Next for Kubernetes, a BIG-IQ és az APM szoftverek azonnali frissítését. Emellett a vállalat lecserélte a szoftverhitelesítő tanúsítványokat és kriptográfiai kulcsokat is – ha ezek kompromittálódtak volna, könnyen előfordulhatott volna, hogy hamis, „F5 által aláírt” szoftvert is eljuttathattak volna az ügyfelekhez, ami a legmagasabb szintű bizalmi válságot okozta volna a kormányzati és vállalati megrendelők körében.

2025, adrienne, go.theregister.com alapján