據彭博社報道,與中國政府支持的網絡部門有關的黑客於2023年底入侵了F5的內部網絡,並一直潛伏到今年8月。這家總部位於西雅圖的網絡安全公司在文件中承認,其系統已被入侵近兩年,攻擊者得以“長期、持續地訪問”其內部基礎設施。
據報道,此次漏洞暴露了其 BIG-IP 平臺的源代碼、敏感配置數據以及未公開的軟件漏洞信息,該平臺為 85% 的財富 500 強公司和許多美國聯邦機構的網絡提供支持。
黑客入侵了 F5 自己的軟件,由於員工未能遵守內部安全政策,該軟件被暴露在網上。攻擊者利用這一弱點,進入並在本應被鎖定的系統內自由漫遊。
F5公司告知客戶,此次疏忽直接違反了公司教導客戶遵守的網絡準則。消息曝光後,F5股價在10月16日下跌逾10%,市值蒸發數百萬美元。
“由於漏洞信息已經公開,每個使用 F5 的人都應該假設他們受到了威脅,”惠普前安全高管、英國網絡安全服務公司 CyberQ Group Ltd. 創始人克里斯·伍茲 (Chris Woods) 表示。
黑客利用 F5 自身的技術來保持隱秘和控制
據彭博社報道,F5 週三向客戶發送了一份威脅搜尋指南,以應對中國政府支持的黑客使用的一種名為 Brickstorm 的惡意軟件。
受僱於 F5 的 Mandiant 公司證實,Brickstorm 允許黑客悄悄地通過 VMware 虛擬機和更深層次的基礎設施進行攻擊。在站穩腳跟後,入侵者在一年多的時間裡保持沉默,這是一種古老而有效的策略,旨在拖延公司安全日誌的保留期。
為了節省成本,記錄所有數字蹤跡的日誌通常會在12個月後被刪除。一旦這些日誌消失,黑客就會重新激活並從BIG-IP中提取數據,包括源代碼和漏洞報告。
F5 表示,雖然一些客戶數據被竊取,但沒有確鑿證據表明黑客更改了其源代碼或利用竊取的信息來利用客戶。
F5 的 BIG-IP 平臺可處理負載平衡和網絡安全、路由數字流量並保護系統免受入侵。
美國和英國政府發佈緊急警告
美國網絡安全和基礎設施安全局(CISA)稱該事件是“針對聯邦網絡的重大網絡威脅”。CISA在週三發佈的緊急指令中要求所有聯邦機構在10月22日之前識別並更新其F5產品。
英國國家網絡安全中心週三也發佈了有關此次漏洞的警報,警告黑客可能會利用對 F5 系統的訪問權限來利用該公司的技術並識別其他漏洞。
信息披露後,F5 首席執行官弗朗索瓦·洛科-多努 (Francois Locoh-Donou) 與客戶舉行了簡報會,解釋了此次數據洩露事件的範圍。弗朗索瓦證實,公司已邀請 CrowdStrike 和谷歌旗下的 Mandiant 協助執法部門和政府調查人員開展調查。
據稱,知情官員向彭博社透露,中國政府是此次襲擊的幕後黑手。但中國發言人駁斥了這一指控,稱其“毫無根據,且缺乏證據”。
Sygnia 網絡安全諮詢副總裁 Ilia Rabinovich 表示,在 Sygnia 去年披露的案例中,黑客隱藏在 F5 設備內部,並將其用作“命令和控制”基地,從而潛入受害者網絡而不被發現。“由於許多組織都部署了這些設備,因此這起事件有可能演變成大規模的事件,”他說道。
