F5 ma duży problem, jego klienci też

Opis zdarzenia

Atak na dużego dostawcę rozwiązań bezpieczeństwa zawsze budzi emocje. Nie inaczej jest tym razem. Firma F5 w oświadczeniu, poinformowała o wykrytym w sierpniu tego roku (ta informacja zawarta jest też w dokumencie SEC) ataku na swoją infrastrukturę. Zgodnie z informacjami dostarczonymi przez biuro prasowe, za atakiem ma stać “highly sophisticated nation-state threat actor”, czyli grupa APT sponsorowana przez państwo. Należy mieć na uwadze, że stwierdzenie to, oprócz wydźwięku PRowego może rzeczywiście odzwierciedlać umiejętności adwersarzy. Choć szczegóły techniczne ataku nie są jeszcze znane, to potencjalne skutki mogą być odczuwane przez klientów jeszcze latami. F5 informuje, że nie posiada wiedzy, jakoby doszło do wycieku informacji o klientach z systemów CRM, ani aby inne rozwiązania (np. NGINX) zostały dotknięte tym incydentem. Wiadomość o ataku została podana do wiadomości publicznej z opóźnieniem, na wniosek Departamentu Sprawiedliwości USA. 

TLDR:

• Firma F5 poinformowała swoich użytkowników o wykryciu nieautoryzowanego dostępu do swojej infrastruktury związanej z produktem BIG-IP.
• Producent twierdzi, że atakujący utrzymywał dostęp przez dłuższy czas i mógł pozyskać informacje na temat niepublikowanych jeszcze podatności, kodu źródłowego dostarczanych produktów oraz konfiguracji niektórych klientów.
• W opublikowanym oświadczeniu, pojawiło się zapewnienie, że łańcuch dostaw jak i inne produkty (np. NGINX) nie zostały naruszone podczas ataku. 
• Jednocześnie producent opublikował łatki na podatności, do których dostęp mogli uzyskać atakujący

Co właściwie zostało naruszone? Platforma developerska i inżynierska dotycząca produktów BIG-IP. Dzięki temu atakujący pozyskali informacje o kodzie źródłowym BIG-IP oraz wykrytych podatnościach, które nie zostały jeszcze upublicznione. Oprócz tego atakujący eksfiltrowali dane zawierające informacje o szczegółach implementacyjnych oraz konfiguracyjnych niektórych klientów. Firma zapewnia, że jest na etapie analizy skradzionych informacji i współpracuje ze stronami, które mogły zostać poszkodowane. 

Biuletyn informacji NSCS wskazuje, że incydent dotyka następujących elementów:

• Hardware: BIG-IP iSeries, rSeries oraz urządzenia EOL
• Software: urządzenia pod kontrolą BIG-IP (F5OS), BIG-IP (TMOS), Virtual Edition (VE), BIG IP Next, BIG-IQ, oraz platformy BIG-IP Next for Kubernetes (BNK) / Cloud-Native Network Functions (CNF)

W analizie incydentów udział biorą znani gracze na arenie międzynarodowej, tacy jak Mandiant, CrowdStrike czy NCC Group oraz IOActive. Jak na razie prowadzone działania nie ujawniły wykorzystania zdobytej przez grupę APT wiedzy, tj. ataków na infrastrukturę klientów. Jednak należy założyć, że taka sytuacja może mieć miejsce – zarówno w kontekście znanych producentowi podatności jak i nowych, odnalezionych przy pomocy manualnych technik analizy, które mogą zostać wykorzystane przez przestępców. 

Incydent należy potraktować poważnie – producent opublikował aktualizacje, które naprawiają znane podatności oraz zaleca ich jak najszybsze wdrożenie. Ponadto należy założyć, że pewne luki, które nie zostały ujęte w biuletynach producenta, mogą zostać wykryte, uzbrojone i wykorzystane. 

Używam F5, co teraz?

W celu ograniczenia ekspozycji na ataki – w pierwszym korku, zaleca się identyfikację oraz ewaluację posiadanych produktów F5. Następnie, należy sprawdzić, czy interfejsy do zarządzania nie są dostępne z zewnątrz. Restrykcyjne polityki dostępu pozwalają znacznie ograniczyć ekspozycję na ataki. NSCS zaleca wdrożenie działań mających na celu potwierdzenie możliwego nieautoryzowanego dostępu w przypadku jeśli interfejsy administratorskie były wystawione do sieci publicznej. Po wgraniu najnowszych aktualizacji, należy postępować zgodnie z najlepszymi praktykami utwardzania, które zostały udostępnione przez producenta. 

Na ten moment ciężko oszacować dokładne straty wyrządzone przez nieautoryzowany dostęp. Ciężko też stwierdzić jakie będą skutki wykorzystania wykradzionych informacji (a właściwie skala tych skutków). Czekamy na bardziej szczegółowe informacje i raporty informujące o dokładnych ustaleniach audytorów. 

W zacytowanym przez Bleeping Computer (obecnie usuniętym) gist, widniała informacja, że w wysiłek recenzji kodu źródłowego zostało zaangażowanych 76 pracowników, którzy łącznie spędzili 551 roboczodni na szukanie podatności. I chociaż jest to wartość imponująca, to chcemy wskazać, że daje to lekko ponad tydzień na osobę. Mamy nadzieję, że strategia przydzielania zadań pozwoliła audytorom na dogłębne zapoznanie się z kodem, ponieważ w innym przypadku analiza mogłaby być zbyt powierzchowna. 

Do tego czasu zdążymy przygotować planszę bingo i może odnajdziemy naszą zagubioną kostkę atrybucji (chociaż i bez niej mamy pewne podejrzenia).

~Black Hat Logan