TokyoBlackHatNews

darkreading.com 5分で読了

F5 BIG-IP環境が国家レベルの攻撃者に侵害される

シリコンバレーのF5オフィスの看板

出典:John Crowe / Alamy Stock Photo

アプリケーションセキュリティ大手のF5は今週、国家レベルの脅威アクターが同社の主力製品であるBIG-IPアプリケーションデリバリーおよびセキュリティ製品の製品開発環境とエンジニアリング知識管理プラットフォームに長期的かつ持続的にアクセスし、データを流出させたことを公表しました。

同社は10月15日、顧客向けのMyF5ウェブサイトでこの侵害を公表しました。F5は、8月に「高度に洗練された国家レベルの脅威アクターが、特定のF5システムに長期的かつ持続的にアクセスし、ファイルをダウンロードしていた」ことを把握したと述べています。

名前の明かされていない脅威アクターは、一部のBIG-IPソースコードや、現在対策中の未公開の脆弱性に関する情報を含むファイルを流出させました。同社はこれらの脆弱性の内容については説明せず、公表記事で「未公開の重大な脆弱性やリモートコード脆弱性については把握しておらず、未公開のF5脆弱性が積極的に悪用されているという認識もありません」と付け加えています。

知識管理プラットフォームについては、流出した一部のファイルに「ごく一部の顧客」の構成や実装情報が含まれていたとしています。F5はファイルを精査し、必要に応じて顧客に直接連絡しています。

脅威アクターがアクセスできなかったものについて、F5はCRM、財務、サポートケース管理、iHealthシステム、ならびにNGINXのソースコードや製品開発環境へのアクセスやデータ流出の証拠は見つかっていないとしています。

さらに、F5はソースコード、ビルドパイプライン、リリースパイプラインを含むソフトウェアサプライチェーンの改ざんの証拠も確認しておらず、その主張を裏付けるためにNCC GroupおよびIOActiveの証明書も添付しています。

データ侵害によるセキュリティリスクは依然として残る

現時点では顧客への影響は限定的に見えますが、高度な国家レベルのアクターによる長期的かつ持続的な脅威活動は、組織にとって最悪のシナリオとなります。

F5が述べているように、今回の攻撃によるさらなるサプライチェーン活動の証拠はありません。しかし、Team CymruのフィールドCISOであるWill Baxter氏は、盗まれた脆弱性やソースコードのデータが今後他の攻撃に利用される可能性があると警告しています。

「これはSolarWinds攻撃と似ており、攻撃者は流出したソースコードや設定情報を使って、将来的なキャンペーンで顧客を標的にするでしょう」とBaxter氏は述べています。「これはF5に対する長期的かつ持続的な攻撃の始まりに過ぎず、むしろ顧客環境全体のF5デバイスが今後標的になる可能性が高いです。」

攻撃の動機について、アプリケーションセキュリティベンダーContrast SecurityのCISOであるDavid Lindner氏はDark Readingに対し、脅威アクターが長期的に潜伏した理由は、売却可能なファイルの窃取よりもスパイ活動のためである可能性が高いと述べています。攻撃の背後にいる脅威アクターの正体は依然不明ですが、中国過去にF5機器を標的にした事例から、容疑者として挙げられています。

「彼らの目的はF5で何かを壊すことではなく、将来の計画のために情報を収集することだった可能性が高いです。BIG-IP開発チームからソースコードを盗むことで、世界中の政府や大企業が依存する技術の設計図を手に入れたことになります」と彼は述べています。「この情報は彼らにとって非常に価値があります。今後の攻撃で使える未発見の脆弱性を見つけたり、大規模なサプライチェーン攻撃を計画したりするのに利用できます。彼らが非常に静かに行動していた理由もこれで説明がつきます。」

F5顧客がデータ侵害に対してできること

侵害を受けて、F5は複数のインシデント対応企業や法執行機関と連携して事態の緩和に努め、広範な対応を行った結果、国家レベルの脅威アクターによる脅威を封じ込めたと考えていると述べています。また、投資家向けに8-K報告書も共有しました。

基本的な復旧対応に加え、F5はシステム全体で認証情報のローテーションやアクセス制御の強化、インベントリおよびパッチ管理の自動化の導入、監視・検知ツールの改善、ネットワークセキュリティインフラの強化、製品開発環境の堅牢化などを実施しました。

「お客様の信頼は大切です。特に問題が発生したときには、毎日信頼を得る必要があることを私たちは理解しています」と同社はブログ投稿で述べています。「このインシデントが発生し、お客様にリスクをもたらしたことを心から遺憾に思います。私たちはこのインシデントから学び、その教訓をより広いセキュリティコミュニティと共有することを約束します。」

F5は、顧客に対して最新のBIG-IPアップデートを適用するよう推奨しています。また、顧客システムの堅牢化に関する各種ガイダンスも共有しています。

10月15日には、CISAが連邦民間行政機関(FCEB)に対し、F5 BIG-IP製品のインベントリを作成し、必要に応じてアップデートを適用するよう指示しました。

今回の侵害については、脅威アクターがどのようにしてF5システムに侵入したのか、同社がどのようにして侵害に気付いたのかなど、いくつかの疑問が残っています。Dark ReadingはF5に脅威アクターの検知方法を尋ねましたが、広報担当者は初期の公表記事以上のコメントは控えました。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/f5-big-ip-environment-breached-nation-state-actor

ソース: darkreading.com
#2025年サイバー攻撃 #5G脆弱性 #BIG-IP #Equifax情報漏洩 #F5 #サイバーインシデント対応 #サプライチェーン攻撃 #ソースコード流出 #国家支援型ハッカー #顧客影響

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開