吳明宜F5 上周向主管機關報告,內部系統遭駭並取 BIG-IP 程式碼及漏洞資訊,他們相信是中國國家駭客所為。
安全及應用遞送方案供應商 F5 在上周向美國證管會 (SEC) 遞交的報告中指出,部份內部系統遭到駭客長期潛伏存存取,包括一個和其旗艦產品 BIG-IP 平台開發相關的系統。
F5 是在 8 月 9 日偵測到攻擊,但在美國司法部許可下延遲揭露訊息。根據它向 SEC 提交的報告,駭客已成功竊取了一些檔案,包括和 BIG-IP 原始碼和未公開漏洞的資訊。遭駭客存取的系統還包括一個工程知識管理平台,當中包含「少部份」客戶的配置和實作資料。他們有必要會直接通知這些客戶。
至於攻擊者,F5 指向一個中國國家駭客組織,但未指名是哪一個。
F5 也立即向企業用戶發出警告,指駭客存取該公司網路至少已 12 個月。這點也符合 Google 最近一份關於 Brickstorm 的報告指出,中國網路間諜平均潛伏在受害者網路近 400 天。
Google 威脅情報小組和 Mandiant 認為 Brickstorm 攻擊和 UNC5221 有關。 F5 已向 Google Mandiant 和 CrowdStrike 尋求協助調查和系統強化。另方面,SecurityWeek 報導,中國駭客過去即是 BIG-IP 裝置攻擊的「慣犯」。
F5 表示,沒有發現有重大或允許遠端程式執行 (remote code execution, RCE) 的非公開漏洞,也沒有發現未公開漏洞濫用情形。同時 F5 也未發現 CRM 、財務、健康或客戶支援管理系統有被存取或竊取資料。但另一方面,F5 最近宣佈輪換 BIG-IP 產品簽發使用的憑證和金鑰。
上周該公司也宣佈釋出 BIG-IP 和其他產品的修補及軟體更新。其中有近 30 個高嚴重性的漏洞,可被用以繞過安全防護機制、提升權限以及引發阻斷服務 (DoS) 攻擊。
因應此次事件,美國資訊安全暨網路安全管理署 (CISA) 警告,原始碼和漏洞資訊外洩可能讓攻擊者利用 F5 裝置和軟體危害聯邦政府網路。 CISA 已對聯邦政府單位發佈緊急指令,清查 BIG-IP 軟硬體及在 10 月 31 日前安裝修補程式。
來源:SecurityWeek