Hàng nghìn mạng lưới - nhiều trong số đó do chính phủ Mỹ và các công ty Fortune 500 vận hành - đối mặt với "mối đe dọa cấp bách" bị vi phạm bởi một nhóm hacker nhà nước sau vụ vi phạm của một nhà sản xuất phần mềm lớn, chính phủ liên bang cảnh báo vào thứ Tư.

F5, nhà sản xuất phần mềm mạng có trụ sở tại Seattle, tiết lộ vụ vi phạm vào thứ Tư. F5 cho biết một nhóm đe dọa "tinh vi" làm việc cho chính phủ nhà nước không được tiết lộ đã âm thầm và liên tục ẩn náu trong mạng của công ty trong "thời gian dài". Các nhà nghiên cứu bảo mật đã phản ứng với các cuộc xâm nhập tương tự trong quá khứ hiểu ngôn ngữ này có nghĩa là hacker đã ở bên trong mạng F5 trong nhiều năm.

Chưa Từng Có

Trong thời gian đó, F5 cho biết, hacker đã kiểm soát phân đoạn mạng mà công ty sử dụng để tạo và phân phối cập nhật cho BIG IP, một dòng thiết bị máy chủ mà F5 cho biết được sử dụng bởi 48 trong số 50 tập đoàn hàng đầu thế giới. Tiết lộ của thứ Tư tiếp tục nói rằng nhóm đe dọa đã tải xuống thông tin mã nguồn độc quyền BIG-IP về các lỗ hổng đã được phát hiện riêng tư nhưng chưa được vá. Hacker cũng có được cài đặt cấu hình mà một số khách hàng sử dụng bên trong mạng của họ.

Việc kiểm soát hệ thống xây dựng và truy cập vào mã nguồn, cấu hình khách hàng, và tài liệu về các lỗ hổng chưa được vá có khả năng cung cấp cho hacker kiến thức chưa từng có về điểm yếu và khả năng khai thác chúng trong các cuộc tấn công chuỗi cung ứng trên hàng nghìn mạng, nhiều trong số đó nhạy cảm. Việc đánh cắp cấu hình khách hàng và dữ liệu khác càng làm tăng nguy cơ thông tin đăng nhập nhạy cảm có thể bị lạm dụng, F5 và các chuyên gia bảo mật bên ngoài cho biết.

Khách hàng đặt BIG-IP ở rìa mạng của họ để sử dụng làm bộ cân bằng tải và tường lửa, và để kiểm tra và mã hóa dữ liệu đi vào và ra khỏi mạng. Với vị trí mạng của BIG-IP và vai trò quản lý lưu lượng cho máy chủ web, các vụ xâm phạm trước đây đã cho phép kẻ thù mở rộng quyền truy cập đến các phần khác của mạng bị nhiễm.

F5 cho biết các cuộc điều tra của hai công ty phản ứng xâm nhập bên ngoài vẫn chưa tìm thấy bằng chứng nào về các cuộc tấn công chuỗi cung ứng. Công ty đính kèm thư từ các công ty IOActive và NCC Group chứng thực rằng phân tích mã nguồn và đường ống xây dựng không phát hiện dấu hiệu nào cho thấy "tác nhân đe dọa đã sửa đổi hoặc đưa vào bất kỳ lỗ hổng nào vào các mục trong phạm vi".

Các công ty cũng cho biết họ không xác định bằng chứng nào về các lỗ hổng quan trọng trong hệ thống. Các điều tra viên, cũng bao gồm Mandiant và CrowdStrike, không tìm thấy bằng chứng nào cho thấy dữ liệu từ CRM, tài chính, quản lý trường hợp hỗ trợ, hoặc hệ thống sức khỏe của nó đã được truy cập.

Công ty đã phát hành cập nhật cho các sản phẩm BIG-IP, F5OS, BIG-IQ và APM của mình. Các chỉ định CVE và chi tiết khác có ở đây. Hai ngày trước, F5 đã xoay chứng chỉ ký BIG-IP, mặc dù không có xác nhận ngay lập tức rằng động thái này là để phản ứng với vụ vi phạm.

Cơ quan An ninh Mạng và Cơ sở Hạ tầng Mỹ đã cảnh báo rằng các cơ quan liên bang dựa vào thiết bị này đối mặt với "mối đe dọa cấp bách" từ các vụ trộm cắp, "gây ra rủi ro không thể chấp nhận được". Cơ quan tiếp tục chỉ đạo các cơ quan liên bang dưới quyền kiểm soát của mình thực hiện "hành động khẩn cấp". Trung tâm An ninh Mạng Quốc gia Vương quốc Anh đã ban hành chỉ thị tương tự.

CISA đã ra lệnh cho tất cả các cơ quan liên bang mà nó giám sát ngay lập tức kiểm kê tất cả các thiết bị BIG-IP trong mạng họ vận hành hoặc trong mạng mà các nhà cung cấp bên ngoài vận hành thay mặt họ. Cơ quan tiếp tục chỉ đạo các cơ quan cài đặt cập nhật và tuân theo hướng dẫn săn lùng mối đe dọa mà F5 cũng đã ban hành. Người dùng BIG-IP trong ngành tư nhân cũng nên làm như vậy.