Miles de redes, muchas muchos de ellos operados por el gobierno de EE. UU. y compañías Fortune 500, enfrentan una “amenaza inminente” de ser violados por un grupo de piratas informáticos de un estado-nación luego de la violación de un importante fabricante de software, advirtió el gobierno federal el miércoles.
F5, un fabricante de software de redes con sede en Seattle, reveló el incumplimiento El miércoles. F5 dijo que un grupo de amenazas «sofisticado» que trabajaba para un gobierno de estado-nación no revelado había habitado subrepticia y persistentemente en su red durante un «largo plazo». Los investigadores de seguridad que respondieron a intrusiones similares en el pasado interpretaron que el lenguaje significaba que los piratas informáticos estaban dentro de la red F5. durante años.
Sin precedentes
Durante ese tiempo, dijo F5, los piratas informáticos tomaron el control del segmento de red que la empresa utiliza para crear y distribuir actualizaciones para BIG IP, una línea de dispositivos de servidor que F5 dice es utilizado por 48 de las 50 corporaciones más importantes del mundo. La divulgación del miércoles continuó diciendo que el grupo de amenazas descargó información del código fuente propietario de BIG-IP sobre vulnerabilidades que habían sido descubiertas de forma privada pero que aún no habían sido reparadas. Los piratas informáticos también obtuvieron ajustes de configuración que algunos clientes utilizaban dentro de sus redes.
El control del sistema de compilación y el acceso al código fuente, las configuraciones del cliente y la documentación de vulnerabilidades no parcheadas tiene el potencial de brindar a los piratas informáticos un conocimiento sin precedentes de las debilidades y la capacidad de explotarlas en ataques a la cadena de suministro en miles de redes, muchas de las cuales son sensibles. El robo de configuraciones de clientes y otros datos aumenta aún más el riesgo de que se pueda abusar de credenciales confidenciales, dijeron F5 y expertos en seguridad externos.
Los clientes colocan BIG-IP en el borde de sus redes para usarlo como balanceadores de carga y firewalls, y para inspección y cifrado de datos que entran y salen de las redes. Dada la posición de red de BIG-IP y su papel en la gestión del tráfico de los servidores web, compromisos previos han permitido a los adversarios ampliar su acceso a otras partes de una red infectada.
F5 dijo que las investigaciones realizadas por dos empresas externas de respuesta a intrusiones aún no han encontrado evidencia de ataques a la cadena de suministro. La compañía adjuntó cartas de las firmas IOActive y NCC Group que certifican que los análisis del código fuente y la canalización de compilación no descubrieron signos de que un «actor de amenazas haya modificado o introducido vulnerabilidades en los elementos bajo alcance». Las empresas también dijeron que no identificaron ninguna evidencia de vulnerabilidades críticas en el sistema. Los investigadores, que también incluyeron a Mandiant y CrowdStrike, no encontraron evidencia de que se hubiera accedido a datos de su CRM, finanzas, gestión de casos de soporte o sistemas de salud.
La compañía lanzó actualizaciones para sus productos BIG-IP, F5OS, BIG-IQ y APM. Las designaciones CVE y otros detalles están aquí. Hace dos días, F5 girado Certificados de firma BIG-IP, aunque no hubo confirmación inmediata de que la medida sea en respuesta a la infracción.
