S.E.Book
Переслано от SecAtor
Инцидент F5 обрастает интересными подробностями.
Согласно официальным заявлениям, инцидент был обнаружен ещё в августе.
Злоумышленники получили доступ к среде разработки и корпоративным системам, откуда достали исходный код флагманской платформы BIG-IP.
Помимо этого им удалось расшарить информацию об уязвимостях, которые находились в процессе исправления, но ещё не были публично раскрыты или как-то заявлены.
F5 обвинила в атаке неназванную APT и, несмотря на то, что компания не заявляла об этом публично, но считает, что за атакой стоит Китай, согласно данным Bloomberg.
В последнее время Google наблюдала атаки китайских групп на SaaS- и технологические компании, нацеливаясь на ценные данные, прежде всего, исходный код, используя в атаках вредоносное ПО под названием Brickstorm.
При этом F5 направляет клиентам руководство по выявлению угроз, в котором особое внимание уделяется вредоносному ПО Brickstorm.
В результате расследования стало известно также, что хакеры находились в сети не менее 12 месяцев, что соответствует недавнему отчету Google Brickstorm, в котором указывалось среднее время нахождения в сетях данных кибершпионов, составлявшее в среднем около 400 дней.
Google Threat Intelligence Group и Mandiant связали атаку Brickstorm с группой злоумышленников, отслеживаемой как UNC5221.
Поставщик заявил, что ему не известно о каких-либо нераскрытых критических уязвимостях, которыми мог бы воспользоваться злоумышленник, и нет никаких доказательств того, что непубличные уязвимости использовались в атаках.
Однако недавно компания объявляла о ротации своих сертификатов подписи и ключей, используемых для криптографической подписи продуктов BIG-IP.
Кроме того, в среду F5 объявила о доступности исправлений для большого количества уязвимостей, затрагивающих BIG-IP и другие продукты.
Более двух десятков исправленных уязвимостей получили высокий уровень серьёзности. Их эксплуатация может позволить обойти механизмы безопасности, повысить привилегии и вызвать DoS.
Подавляющее большинство уязвимостей можно использовать для DoS-атак, и только эти типы уязвимостей можно эксплуатировать удаленно без аутентификации, в то время как для остальных требуется аутентификация, а в некоторых случаях и повышенные привилегии.
В компании F5 заявили, что злоумышленники также украли файлы с платформы управления знаниями, включавшие данные о конфигурации или реализации для небольшого процента клиентов.
Особо отмечается, что компания не обнаружила свидетельств вмешательства в цепочку поставок, включая изменение исходного кода NGINX или процесса сборки/выпуска.
Кроме того, нет никаких признаков кражи данных из других систем, а равно эксплуатации украденных дефектов. Причем якобы среди этих дефектов не было критических уязвимостей и RCE.
В общем, пока F5 как из пулемета клепает много успокоительных заявлений Агентства по кибербезопасности США и Великобритании выпускают экстренные предупреждения, уведомляя о потенциальной угрозе (1 и 2 соответственно).
Учитывая ресурсность и профиль атакующего актора, весьма вероятно, что критические уязвимости и RCE будут выужены из исходного кода до последней CVE и оперативно уйдут в работу.
Так что пользователям помимо срочных обновлений BIG-IP, F5OS, BIG-IP Next for Kubernetes и BIG-IQ следует приготовиться к выстукиванию более комплексной защиты потенциально (можно сказать, что уже даже однозначно) уязвимых систем.
Если ранее мы сталкивались с таким понятием как атака на цепочку мудаков, новый инцидент следует рассматривать как атаку на цепочку от мудака. Свои варианты кидайте в комменты.
Согласно официальным заявлениям, инцидент был обнаружен ещё в августе.
Злоумышленники получили доступ к среде разработки и корпоративным системам, откуда достали исходный код флагманской платформы BIG-IP.
Помимо этого им удалось расшарить информацию об уязвимостях, которые находились в процессе исправления, но ещё не были публично раскрыты или как-то заявлены.
F5 обвинила в атаке неназванную APT и, несмотря на то, что компания не заявляла об этом публично, но считает, что за атакой стоит Китай, согласно данным Bloomberg.
В последнее время Google наблюдала атаки китайских групп на SaaS- и технологические компании, нацеливаясь на ценные данные, прежде всего, исходный код, используя в атаках вредоносное ПО под названием Brickstorm.
При этом F5 направляет клиентам руководство по выявлению угроз, в котором особое внимание уделяется вредоносному ПО Brickstorm.
В результате расследования стало известно также, что хакеры находились в сети не менее 12 месяцев, что соответствует недавнему отчету Google Brickstorm, в котором указывалось среднее время нахождения в сетях данных кибершпионов, составлявшее в среднем около 400 дней.
Google Threat Intelligence Group и Mandiant связали атаку Brickstorm с группой злоумышленников, отслеживаемой как UNC5221.
Поставщик заявил, что ему не известно о каких-либо нераскрытых критических уязвимостях, которыми мог бы воспользоваться злоумышленник, и нет никаких доказательств того, что непубличные уязвимости использовались в атаках.
Однако недавно компания объявляла о ротации своих сертификатов подписи и ключей, используемых для криптографической подписи продуктов BIG-IP.
Кроме того, в среду F5 объявила о доступности исправлений для большого количества уязвимостей, затрагивающих BIG-IP и другие продукты.
Более двух десятков исправленных уязвимостей получили высокий уровень серьёзности. Их эксплуатация может позволить обойти механизмы безопасности, повысить привилегии и вызвать DoS.
Подавляющее большинство уязвимостей можно использовать для DoS-атак, и только эти типы уязвимостей можно эксплуатировать удаленно без аутентификации, в то время как для остальных требуется аутентификация, а в некоторых случаях и повышенные привилегии.
В компании F5 заявили, что злоумышленники также украли файлы с платформы управления знаниями, включавшие данные о конфигурации или реализации для небольшого процента клиентов.
Особо отмечается, что компания не обнаружила свидетельств вмешательства в цепочку поставок, включая изменение исходного кода NGINX или процесса сборки/выпуска.
Кроме того, нет никаких признаков кражи данных из других систем, а равно эксплуатации украденных дефектов. Причем якобы среди этих дефектов не было критических уязвимостей и RCE.
В общем, пока F5 как из пулемета клепает много успокоительных заявлений Агентства по кибербезопасности США и Великобритании выпускают экстренные предупреждения, уведомляя о потенциальной угрозе (1 и 2 соответственно).
Учитывая ресурсность и профиль атакующего актора, весьма вероятно, что критические уязвимости и RCE будут выужены из исходного кода до последней CVE и оперативно уйдут в работу.
Так что пользователям помимо срочных обновлений BIG-IP, F5OS, BIG-IP Next for Kubernetes и BIG-IQ следует приготовиться к выстукиванию более комплексной защиты потенциально (можно сказать, что уже даже однозначно) уязвимых систем.
Если ранее мы сталкивались с таким понятием как атака на цепочку мудаков, новый инцидент следует рассматривать как атаку на цепочку от мудака. Свои варианты кидайте в комменты.
F5
F5 Security Incident
We want to share information with you about steps we’ve taken to resolve a security incident at F5 and our ongoing efforts to protect our customers. In August 2025, we learned a highly sophisticated nation-state threat actor maintained long-term, persistent access to, and downloaded files from, certain F5 systems. These systems included our BIG-IP product development environment and engineering knowledge management platforms. We have taken extensive actions to contain the threat actor. Since beginning these activities, we have not seen any new unauthorized activity, and we believe our containment efforts have been successful. In response to this incident, we are taking proactive measures to protect our customers and strengthen the security posture of our enterprise and product environments. We have engaged CrowdStrike, Mandiant, and other leading cybersecurity experts to support this work, and we are actively engaged with law enforcement and our government partners. We have released up
11 1.9K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram