Por qué el hackeo de F5 creó una “amenaza inminente” para miles de redes
Miles de redes, muchas de ellas operadas por el gobierno de Estados Unidos y compañías Fortune 500, enfrentan una “amenaza inminente” de ser violadas por un grupo de piratas informáticos de un estado-nación luego de la violación de los datos de un importante fabricante de software, advirtió el gobierno federal el miércoles.
F5, fabricante de software de redes con sede en Seattle, reveló la filtración el miércoles. F5 afirmó que un sofisticado grupo de amenazas, al servicio de un gobierno estatal no identificado, había entrado en su red de forma subrepticia y persistente durante un largo periodo. Investigadores de seguridad que han respondido a intrusiones similares en el pasado interpretaron que los hackers llevaban años dentro de la red de F5.
Sin precedentesDurante ese periodo, según F5, los hackers tomaron el control del segmento de red que la compañía utiliza para crear y distribuir actualizaciones para BIG IP, una línea de servidores que, según F5, utilizan 48 de las 50 principales corporaciones del mundo. La divulgación del miércoles añadió que el grupo de amenazas descargó información exclusiva del código fuente de BIG-IP sobre vulnerabilidades descubiertas de forma privada, pero aún no corregidas. Los hackers también obtuvieron ajustes de configuración que algunos clientes utilizaban en sus redes.
El control del sistema de compilación y el acceso al código fuente, las configuraciones de los clientes y la documentación de vulnerabilidades sin parchear podrían proporcionar a los hackers un conocimiento sin precedentes de las debilidades y la capacidad de explotarlas en ataques a la cadena de suministro contra miles de redes, muchas de las cuales son sensibles. El robo de configuraciones de clientes y otros datos aumenta aún más el riesgo de que se abuse de credenciales sensibles, según F5 y expertos en seguridad externos.
Los clientes colocan BIG-IP en el borde de sus redes para usarlos como balanceadores de carga y cortafuegos, así como para la inspección y el cifrado de los datos que entran y salen de las redes. Dada la posición de BIG-IP en la red y su función en la gestión del tráfico de servidores web, ataques anteriores han permitido a los atacantes ampliar su acceso a otras partes de la red infectada.
F5 afirmó que las investigaciones realizadas por dos empresas externas de respuesta a intrusiones aún no han encontrado evidencia de ataques a la cadena de suministro. La compañía adjuntó cartas de las empresas IOActive y NCC Group que atestiguan que los análisis del código fuente y del proceso de desarrollo no revelaron indicios de que un agente de amenazas modificara o introdujera vulnerabilidades en los elementos incluidos en el análisis. Las empresas también afirmaron no identificar evidencia de vulnerabilidades críticas en el sistema. Los investigadores, entre los que también se encontraban Mandiant y CrowdStrike, no encontraron evidencia de acceso a datos de sus sistemas CRM, financieros, de gestión de casos de soporte o de salud.
La compañía publicó actualizaciones para sus productos BIG-IP, F5OS, BIG-IQ y APM. Las designaciones CVE y otros detalles se encuentran aquí . Hace dos días, F5 rotó los certificados de firma de BIG-IP, aunque no hubo confirmación inmediata de que esta medida respondiera a la brecha de seguridad.
La agencia estadounidense de Ciberseguridad y Seguridad de Infraestructuras advirtió que las agencias federales que dependen del dispositivo enfrentan una "amenaza inminente" por los robos, que "representan un riesgo inaceptable". La agencia ordenó a las agencias federales bajo su control que tomaran "medidas de emergencia". El Centro Nacional de Ciberseguridad del Reino Unido emitió una directiva similar.
CISA ha ordenado a todas las agencias federales que supervisa que realicen un inventario inmediato de todos los dispositivos BIG-IP en las redes que gestionan o en las redes que gestionan proveedores externos en su nombre. La agencia también les indicó que instalaran las actualizaciones y siguieran una guía de detección de amenazas publicada por F5. Los usuarios de BIG-IP en el sector privado deberían hacer lo mismo.
Esta historia apareció originalmente en Ars Technica .
wired
