政府支援のハッカーがエンタープライズ技術ベンダーであるF5に侵入し、同社の本番環境およびエンジニアリングリソースポータルにアクセスしたと、F5は水曜日に発表しました。
アプリケーションセキュリティおよびデータ配信製品を販売するF5は、声明で述べた「高度に洗練された国家の脅威アクター」が、同社の「エンジニアリング知識管理プラットフォーム」と主力製品であるBIG-IPプラットフォームの開発プラットフォームに侵入し、一部のファイルを盗んだとしています。
盗まれたファイルには「BIG-IPのソースコードの一部や、BIG-IPで対応中だった未公開の脆弱性に関する情報が含まれていた」とF5は述べています。また、同社の知る限り、これらの脆弱性には重大な欠陥やリモートコード実行が含まれていないと付け加えました。F5はまた、「未公開のF5脆弱性が積極的に悪用されているという認識はない」とも述べています。
知識管理プラットフォームから盗まれたファイルの一部には、「ごく一部の顧客」がF5製品をどのように構成していたかに関する情報が含まれており、これがハッカーによる攻撃計画に役立つ可能性があります。
F5は、ハッカーが「長期的かつ持続的なアクセス」を同社システムに持っていたと述べています。同社は8月にこの攻撃を発見しましたが、いつ始まったかは明らかにしていません。F5の広報担当者は侵入に関する質問への回答を拒否しました。
米国政府は、ハッカーがF5製品を侵害することで連邦機関に侵入したかどうかを急いで調査しています。サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は水曜日、連邦民間機関に命令し、すべての影響を受けたデバイスを直ちに特定し、一部製品の管理インターフェースをパブリックインターネットから切り離し、F5のセキュリティアップデートを適用するよう指示しました。機関は、影響を受けた製品の大部分については10月22日までに、残りについては10月31日までにパッチを適用する必要があります。CISAは、ミッションクリティカルなニーズを除き、サポート終了デバイスの切断も命じました。
CISAは、現時点で機関の侵害を把握していないと、CISAのサイバーセキュリティ担当副局長であるニック・アンダーセン氏が水曜日の記者説明会で述べました。彼はF5を侵害した国家アクターの特定は控えました。
この事件は直ちに、ロシアによるSolarWindsスパイ活動と比較されました。この事件では、クレムリンの工作員がITソフトウェアベンダーに侵入し、そのコードを改ざんしました。F5製品の脆弱性を悪用することで、ハッカーは侵害された組織のネットワーク内を移動し、持続的なアクセスを確立し、パスワードやAPIキーなどの機密データを盗むことができます。
F5は、「ソースコードやビルド・リリースパイプラインを含むソフトウェアサプライチェーンの改ざんの証拠はない」と述べています。同社は、2つの独立した監査がこの結果を確認したとしています。
それでもアンダーセン氏は、F5の政府および民間顧客への「下流への影響」の可能性は非常に懸念されると述べました。
「これは我々のサプライチェーンに影響を与える、より広範な戦略的キャンペーンの一部です」と彼は述べました。
連邦政府全体で数千台のF5製品が使われていると、アンダーセン氏は記者団に語りました。CISAは水曜日の早い時間に他の機関に緊急指令について説明し、同日中に州および地方政府にも説明する予定でした。アンダーセン氏は、CISAが重要インフラ分野を監督する機関と連携し、業界関係者に警告していると述べました。
CISAはF5侵害への対応を調整していますが、レイオフや強制異動、休職など、継続中の政府閉鎖に関連する課題にも直面しています。アンダーセン氏は、政府閉鎖や最近失効した重要な情報共有法が、CISAのF5対応能力に影響を与えていないと述べました。
「影響を受けたスタッフには、この事件に取り組む人員は含まれていません」とアンダーセン氏は記者団に語りました。
翻訳元: https://www.cybersecuritydive.com/news/f5-supply-chain-breach-nation-state-cisa/802887/
