Milhares de redes — muitas administradas pelo governo dos EUA e por empresas da lista Fortune 500 — enfrentam uma “ameaça iminente” de comprometimento por um grupo de hackers patrocinado por um Estado, alertou o governo federal nesta quarta-feira.
A fabricante de software de redes F5, com sede em Seattle, revelou a violação no mesmo dia.
Segundo a empresa, um grupo “sofisticado”, vinculado a um governo não identificado, permaneceu infiltrado de forma furtiva e persistente na sua rede durante um “longo período”.
Pesquisadores de segurança que lidaram com intrusões semelhantes acreditam que os invasores podem ter permanecido na rede da F5 por anos.
Durante esse período, o grupo assumiu o controle do segmento da rede responsável pela criação e distribuição de atualizações do BIG-IP — uma linha de appliances de servidores usada por 48 das 50 maiores corporações do mundo.
O comunicado da F5 informou que o grupo baixou código-fonte proprietário do BIG-IP, incluindo informações sobre vulnerabilidades internas ainda não corrigidas por patch.
Além disso, os invasores obtiveram configurações utilizadas por alguns clientes em suas redes.
O acesso ao sistema de build, ao código-fonte, às configurações dos clientes e à documentação das vulnerabilidades sem patch abre brechas para que os hackers explorem essas falhas em ataques à cadeia de suprimentos (supply-chain) em milhares de redes, muitas delas com dados sensíveis.
O roubo de configurações e outros dados também eleva o risco de uso indevido de credenciais críticas, alertam a F5 e especialistas externos.
Os clientes geralmente posicionam o BIG-IP na borda das redes para funções de load balancing, firewall, além de inspeção e criptografia do tráfego de dados.
Devido a essa posição estratégica e ao papel no gerenciamento do tráfego dos servidores web, compromissos anteriores do BIG-IP permitiram que atacantes expandissem seu acesso para outras áreas da rede infectada.
A F5 informou que investigações conduzidas por duas empresas externas especializadas em resposta a incidentes ainda não encontraram evidências de ataques à cadeia de suprimentos.
A companhia anexou cartas das firmas IOActive e NCC Group certificando que análises do código-fonte e do pipeline de build não indicaram que o “agente de ameaça tenha modificado ou introduzido vulnerabilidades nos itens avaliados”.
As empresas também não identificaram falhas críticas no sistema.
Outras investigações, com participação da Mandiant e CrowdStrike, não revelaram acesso a dados dos sistemas de CRM, financeiro, atendimento ao cliente ou de saúde.
Em resposta, a F5 lançou atualizações para seus produtos BIG-IP, F5OS, BIG-IQ e APM.
As designações CVE e outros detalhes estão disponíveis no site da empresa.
Dois dias antes do comunicado, a F5 realizou a rotação dos certificados de assinatura do BIG-IP, embora não haja confirmação imediata de que essa medida esteja diretamente ligada à violação.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...