Ο μη κερδοσκοπικός οργανισμός ασφάλειας Διαδικτύου Shadowserver Foundation βρήκε περισσότερες από 266.000 περιπτώσεις F5 BIG-IP εκτεθειμένες στο διαδίκτυο μετά την παραβίαση ασφαλείας που αποκαλύφθηκε από την εταιρεία κυβερνοασφάλειας F5 αυτή την εβδομάδα.
Η εταιρεία αποκάλυψε την Τετάρτη ότι χάκερ εθνικών κρατών παραβίασαν το δίκτυό της και έκλεψαν τον πηγαίο κώδικα και πληροφορίες για άγνωστα ελαττώματα ασφαλείας BIG-IP, αλλά δεν βρήκε στοιχεία ότι οι επιτιθέμενοι είχαν διαρρεύσει ή εκμεταλλευτεί τις ακάλυπτες ευπάθειες στις επιθέσεις.
Την ίδια μέρα, το F5 επίσης εξέδωσε ενημερώσεις κώδικα για την αντιμετώπιση 44 τρωτών σημείων (συμπεριλαμβανομένων αυτών που κλάπηκαν στην κυβερνοεπίθεση) και προέτρεψε τους πελάτες να ενημερώσουν τις συσκευές τους το συντομότερο δυνατό.
“Οι ενημερώσεις για πελάτες BIG-IP, F5OS, BIG-IP Next για Kubernetes, BIG-IQ και APM είναι διαθέσιμες τώρα”, δήλωσε η εταιρεία. “Παρόλο που δεν γνωρίζουμε για άγνωστα κρίσιμα ή απομακρυσμένα τρωτά σημεία εκτέλεσης κώδικα, σας συμβουλεύουμε ανεπιφύλακτα να ενημερώσετε το λογισμικό BIG-IP το συντομότερο δυνατό.”
Αν και δεν έχει ακόμη το επιβεβαιώσει δημόσια, η F5 έχει επίσης συνδέσει την επίθεση με την Κίνα σε ιδιωτικές συμβουλές που μοιράζονται με πελάτες, σύμφωνα με δημοσίευμα του Bloomberg την Πέμπτη.
Το F5 μοιράζεται επίσης έναν οδηγό κυνηγιού απειλών με τους πελάτες του που αναφέρει το κακόβουλο λογισμικό Brickstorm, ένα backdoor που βασίζεται πρώτα στο Go εντοπίστηκε από την Google τον Απρίλιο του 2024 κατά τη διάρκεια έρευνας για επιθέσεις που ενορχηστρώθηκαν από την ομάδα απειλών UNC5291 China-nexus. Η F5 είπε επίσης στους πελάτες ότι οι παράγοντες απειλών ήταν ενεργοί στο δίκτυο της εταιρείας για τουλάχιστον ένα χρόνο.
Το UNC5291 συνδέθηκε προηγουμένως με την εκμετάλλευση του Ivanti zero-days σε επιθέσεις που στοχεύουν κυβερνητικές υπηρεσίες, χρησιμοποιώντας προσαρμοσμένο κακόβουλο λογισμικό όπως το Zipline και το Spawnant.
Η ομάδα παρακολούθησης του Διαδικτύου Shadowserver παρακολουθεί τώρα 266.978 διευθύνσεις IP με δακτυλικό αποτύπωμα F5 BIG-IP, σχεδόν οι μισές από αυτές (πάνω από 142.000) στις Ηνωμένες Πολιτείες και άλλες 100.000 στην Ευρώπη και την Ασία.
Ωστόσο, δεν υπάρχουν πληροφορίες για το πόσα από αυτά έχουν ήδη ασφαλιστεί από επιθέσεις που θα μπορούσαν ενδεχομένως να εκμεταλλευτούν τα τρωτά σημεία BIG-IP που αποκαλύφθηκαν αυτήν την εβδομάδα.
Αυτή την εβδομάδα, η CISA επίσης εξέδωσε επείγουσα οδηγίαυποχρεώνοντας τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να προστατεύουν τα προϊόντα F5OS, BIG-IP TMOS, BIG-IQ και BNK/CNF εγκαθιστώντας τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας F5 έως τις 22 Οκτωβρίου, ενώ για όλες τις άλλες συσκευές υλικού και λογισμικού F5 στα δίκτυά τους, παρέτεινε την προθεσμία έως τις 31 Οκτωβρίου.
Η CISA τους διέταξε επίσης να αποσυνδέσουν και να παροπλίσουν όλες τις εκτεθειμένες στο Διαδίκτυο συσκευές F5 που έχουν φτάσει στο τέλος της υποστήριξης, καθώς δεν θα λαμβάνουν πλέον ενημερώσεις κώδικα και μπορούν εύκολα να παραβιαστούν σε επιθέσεις.
«Η CISA καθοδηγεί τις υπηρεσίες του Federal Civilian Executive Branch (FCEB) να αποθέσουν τα προϊόντα F5 BIG-IP, να αξιολογήσουν εάν οι δικτυωμένες διεπαφές διαχείρισης είναι προσβάσιμες από το δημόσιο Διαδίκτυο και να εφαρμόσουν ενημερώσεις από το F5», ανέφερε η υπηρεσία κυβερνοασφάλειας.
Τα τελευταία χρόνια, ομάδες απειλών τόσο εθνικών κρατών όσο και εγκλημάτων στον κυβερνοχώρο στοχεύουν ευπάθειες BIG-IP για να χαρτογραφήσουν εσωτερικούς διακομιστές, να παραβιάσουν συσκευές στα δίκτυα των θυμάτων, να παραβιάσουν εταιρικά δίκτυα, να κλέψουν ευαίσθητα αρχεία και να αναπτύξουν κακόβουλο λογισμικό που σκουπίζει δεδομένα.
Οι παραβιασμένες συσκευές F5 BIG-IP μπορούν επίσης να επιτρέψουν στους παράγοντες απειλής να κλέψουν διαπιστευτήρια και κλειδιά Διασύνδεσης Προγραμματισμού Εφαρμογών (API), να μετακινηθούν πλευρικά μέσα στα δίκτυα των στόχων και να δημιουργήσουν επιμονή.
Το F5 είναι ένας τεχνολογικός γίγαντας του Fortune 500 που παρέχει ασφάλεια στον κυβερνοχώρο, δικτύωση παράδοσης εφαρμογών (ADN) και υπηρεσίες σε περισσότερους από 23.000 πελάτες παγκοσμίως, συμπεριλαμβανομένων 48 από τις εταιρείες του Fortune 50.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
