据彭博社报道,与中国政府支持的网络部门有关的黑客于2023年底入侵了F5的内部网络,并一直潜伏到今年8月。这家总部位于西雅图的网络安全公司在文件中承认,其系统已被入侵近两年,攻击者得以“长期、持续地访问”其内部基础设施。
据报道,此次漏洞暴露了其 BIG-IP 平台的源代码、敏感配置数据以及未公开的软件漏洞信息,该平台为 85% 的财富 500 强公司和许多美国联邦机构的网络提供支持。
黑客入侵了 F5 自己的软件,由于员工未能遵守内部安全政策,该软件被暴露在网上。攻击者利用这一弱点,进入并在本应被锁定的系统内自由漫游。
F5公司告知客户,此次疏忽直接违反了公司教导客户遵守的网络准则。消息曝光后,F5股价在10月16日下跌逾10%,市值蒸发数百万美元。
“由于漏洞信息已经公开,每个使用 F5 的人都应该假设他们受到了威胁,”惠普前安全高管、英国网络安全服务公司 CyberQ Group Ltd. 创始人克里斯·伍兹 (Chris Woods) 表示。
黑客利用 F5 自身的技术来保持隐秘和控制
据彭博社报道,F5 周三向客户发送了一份威胁搜寻指南,以应对中国政府支持的黑客使用的一种名为 Brickstorm 的恶意软件。
受雇于 F5 的 Mandiant 公司证实,Brickstorm 允许黑客悄悄地通过 VMware 虚拟机和更深层次的基础设施进行攻击。在站稳脚跟后,入侵者在一年多的时间里保持沉默,这是一种古老而有效的策略,旨在拖延公司安全日志的保留期。
为了节省成本,记录所有数字踪迹的日志通常会在12个月后被删除。一旦这些日志消失,黑客就会重新激活并从BIG-IP中提取数据,包括源代码和漏洞报告。
F5 表示,虽然一些客户数据被窃取,但没有确凿证据表明黑客更改了其源代码或利用窃取的信息来利用客户。
F5 的 BIG-IP 平台可处理负载平衡和网络安全、路由数字流量并保护系统免受入侵。
美国和英国政府发布紧急警告
美国网络安全和基础设施安全局(CISA)称该事件是“针对联邦网络的重大网络威胁”。CISA在周三发布的紧急指令中要求所有联邦机构在10月22日之前识别并更新其F5产品。
英国国家网络安全中心周三也发布了有关此次漏洞的警报,警告黑客可能会利用对 F5 系统的访问权限来利用该公司的技术并识别其他漏洞。
信息披露后,F5 首席执行官弗朗索瓦·洛科-多努 (Francois Locoh-Donou) 与客户举行了简报会,解释了此次数据泄露事件的范围。弗朗索瓦证实,公司已邀请 CrowdStrike 和谷歌旗下的 Mandiant 协助执法部门和政府调查人员开展调查。
据称,知情官员向彭博社透露,中国政府是此次袭击的幕后黑手。但中国发言人驳斥了这一指控,称其“毫无根据,且缺乏证据”。
Sygnia 网络安全咨询副总裁 Ilia Rabinovich 表示,在 Sygnia 去年披露的案例中,黑客隐藏在 F5 设备内部,并将其用作“命令和控制”基地,从而潜入受害者网络而不被发现。“由于许多组织都部署了这些设备,因此这起事件有可能演变成大规模的事件,”他说道。
