Hàng nghìn mạng—nhiều chính phủ liên bang đã cảnh báo hôm thứ Tư rằng trong số chúng do chính phủ Hoa Kỳ và các công ty Fortune 500 điều hành — phải đối mặt với “mối đe dọa sắp xảy ra” là bị một nhóm hack cấp quốc gia xâm phạm sau hành vi vi phạm của một nhà sản xuất phần mềm lớn.
F5, nhà sản xuất phần mềm mạng có trụ sở tại Seattle, đã tiết lộ vi phạm vào thứ Tư. F5 cho biết một nhóm đe dọa “tinh vi” làm việc cho một chính phủ quốc gia không được tiết lộ đã lén lút và liên tục cư trú trong mạng lưới của họ trong một “thời gian dài”. Các nhà nghiên cứu bảo mật từng ứng phó với các cuộc xâm nhập tương tự trước đây cho rằng ngôn ngữ này có nghĩa là tin tặc đã ở bên trong mạng F5 trong nhiều năm.
Chưa từng có
Trong thời gian đó, F5 cho biết, tin tặc đã kiểm soát phân đoạn mạng mà công ty sử dụng để tạo và phân phối các bản cập nhật cho BIG IP, một dòng thiết bị máy chủ mà F5 cho biết được 48 trong số 50 tập đoàn hàng đầu thế giới sử dụng. Tiết lộ hôm thứ Tư tiếp tục cho biết nhóm đe dọa đã tải xuống thông tin mã nguồn BIG-IP độc quyền về các lỗ hổng đã được phát hiện riêng tư nhưng chưa được vá. Tin tặc cũng lấy được các cài đặt cấu hình mà một số khách hàng đã sử dụng trong mạng của họ.
Việc kiểm soát hệ thống xây dựng và quyền truy cập vào mã nguồn, cấu hình của khách hàng và tài liệu về các lỗ hổng chưa được vá có khả năng cung cấp cho tin tặc kiến thức chưa từng có về các điểm yếu và khả năng khai thác chúng trong các cuộc tấn công chuỗi cung ứng trên hàng nghìn mạng, trong đó có nhiều mạng nhạy cảm. F5 và các chuyên gia bảo mật bên ngoài cho biết, việc đánh cắp cấu hình khách hàng và các dữ liệu khác càng làm tăng thêm nguy cơ thông tin nhạy cảm có thể bị lạm dụng.
Khách hàng đặt BIG-IP ở rìa mạng của họ để sử dụng làm bộ cân bằng tải và tường lửa cũng như để kiểm tra và mã hóa dữ liệu truyền vào và ra khỏi mạng. Với vị trí mạng của BIG-IP và vai trò của nó trong việc quản lý lưu lượng truy cập cho các máy chủ web, các thỏa hiệp trước đó đã cho phép kẻ tấn công mở rộng quyền truy cập của chúng vào các phần khác của mạng bị nhiễm.
F5 cho biết các cuộc điều tra của hai công ty ứng phó xâm nhập bên ngoài vẫn chưa tìm thấy bất kỳ bằng chứng nào về các cuộc tấn công chuỗi cung ứng. Công ty đã đính kèm thư từ các công ty IOActive và NCC Group chứng thực rằng các phân tích mã nguồn và quy trình xây dựng không phát hiện ra dấu hiệu nào cho thấy “tác nhân đe dọa đã sửa đổi hoặc đưa bất kỳ lỗ hổng nào vào các mục trong phạm vi”. Các công ty cũng cho biết họ không xác định được bất kỳ bằng chứng nào về các lỗ hổng nghiêm trọng trong hệ thống. Các nhà điều tra, bao gồm cả Mandiant và CrowdStrike, không tìm thấy bằng chứng nào cho thấy dữ liệu từ CRM, tài chính, quản lý trường hợp hỗ trợ hoặc hệ thống y tế của họ đã bị truy cập.
Công ty đã phát hành bản cập nhật cho các sản phẩm BIG-IP, F5OS, BIG-IQ và APM. Ký hiệu CVE và các chi tiết khác có tại đây. Hai ngày trước, F5 đã luân chuyển chứng chỉ ký BIG-IP, mặc dù chưa có xác nhận ngay lập tức rằng hành động này là để đáp lại hành vi vi phạm.