ITおよびセキュリティ担当者は、国家的なハッキングが疑われる事件を受け、アプリケーションデリバリーおよびセキュリティベンダーから最新のパッチを適用すべきです。
F5 Networksの機器を環境内で使用しているCSOは、デバイスを直ちにパッチ適用し、不審な活動に警戒する必要があります。これは、本日、同社が規制当局への提出書類で認めた通り、匿名の脅威アクターが今年初めにBIG-IP製品の一部ソースコード、および未公開の脆弱性や「ごく一部の顧客」のデバイス構成データを盗んだためです。
この開示を受けて、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、本日、連邦民間機関に対し、自身のBIG-IPデバイスがパブリックインターネットからアクセス可能かどうかを評価し、F5からのアップデートを適用するよう指示しました。
「このサイバー脅威アクターは、F5デバイスおよびソフトウェアを使用する連邦ネットワークに差し迫った脅威をもたらします」とCISAの警告は述べています。「影響を受けたF5製品の悪用に成功すると、脅威アクターは埋め込み認証情報やAPIキーにアクセスし、組織内ネットワークを横断移動し、データを流出させ、持続的なシステムアクセスを確立する可能性があります。これは、標的となる情報システムの完全な侵害につながる恐れがあります。」
F5はBIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、APMクライアント向けにアップデートをリリースしました。「できるだけ早くこれらの新しいリリースにアップデートすることを強く推奨します」と同社は述べています。
F5は、ウェブゲートウェイやアクセス制御管理を含むアプリケーションデリバリーおよびセキュリティ製品で知られていますが、詳細についてのインタビュー要請は断り、同社の声明を参照するよう記者に伝えました。
盗まれたもの
声明の中でF5は、脅威アクターがBIG-IP製品開発環境およびエンジニアリング知識管理プラットフォームからファイルを流出させたと述べています。「これらのファイルには、BIG-IPの一部ソースコードや、BIG-IPで対応中だった未公開の脆弱性に関する情報が含まれていました。未公開の重大な脆弱性やリモートコード脆弱性については把握しておらず、未公開のF5脆弱性が実際に悪用されていることも認識していません。」
現時点では、F5の顧客関係管理、財務、サポートケース管理、iHealthシステムからのデータへのアクセスや流出の証拠はないとしています。
「しかしながら」と声明は付け加えています。「当社の知識管理プラットフォームから流出した一部のファイルには、ごく一部の顧客の構成または実装情報が含まれていました。これらのファイルを現在精査しており、該当する顧客には適切に直接ご連絡いたします。」
さらに、「ソフトウェアサプライチェーン(ソースコード、ビルド・リリースパイプラインを含む)への改ざんの証拠はありません。この評価は、サイバーセキュリティ調査会社NCC GroupおよびIOActiveによる独立したレビューで検証されています。脅威アクターがNGINXのソースコードや製品開発環境にアクセスまたは改ざんした証拠もありません。NGINXはリバースプロキシ、ロードバランシング、キャッシュ用のオープンソースWebサーバーです。また、F5 Distributed Cloud ServicesやSilverlineシステムへのアクセスや改ざんの証拠もありません。」
F5は、今回の攻撃を「高度に洗練された国家的脅威アクター」によるものとしています。ハッカーがどれくらいの期間、同社環境内で活動していたかは明らかにしていません。
なぜ本日この攻撃の公表に至ったのかについては、米国証券取引委員会への開示の中で、F5は9月12日に米国司法省が公表の遅延が妥当であると判断したためと説明しています。ファイアウォール、ウェブゲートウェイ、メールゲートウェイなどの重要なネットワーク機器は、長年にわたり脅威アクターのITネットワーク侵入の入り口として狙われてきました。これは、最近SonicWallがMySonicWallクラウドバックアッププラットフォームのデータが侵害されたと公表したことや、先月のCISAの警告で、脅威アクターがCisco SystemsのAdaptive Security Appliances(ASA)のゼロデイ脆弱性を悪用して標的にしていることからも明らかです。
F5の対策
ITおよびセキュリティ担当者は、F5サーバー、ソフトウェア、クライアントが最新のパッチを適用していることを確認すべきです。加えて、F5はF5 iHealth Diagnostics Toolに自動ハードニングチェックを追加しており、管理者は脅威ハンティングガイドを参照して監視を強化し、F5システムのハードニングに関するベストプラクティスガイドも参考にすることを推奨しています。
今回の攻撃を受けて、F5は認証情報のローテーションやアクセス制御の強化、インベントリおよびパッチ管理の自動化の改善、脅威の監視・検知・対応能力向上のための追加ツールの導入、ネットワークセキュリティアーキテクチャの強化、製品開発環境のハードニング(すべてのソフトウェア開発プラットフォームのセキュリティ制御と監視の強化を含む)を実施したと述べています。
また、F5はサポート対象のすべての顧客に、CrowdStrikeのFalcon EDRエンドポイント保護サービスの無料サブスクリプションを提供します。
盗まれた情報が今後の攻撃に利用される可能性
「現時点で公表されているインシデントの範囲や盗まれたデータに関する情報からは、パニックになる必要はありません」とImmuniWebのCEOであるIlia Kolochenko氏は声明でコメントしています。「とはいえ、盗まれたソースコードは、侵害に関与したサイバー犯罪者による脆弱性調査を大幅に容易にし、影響を受けたF5製品のゼロデイ脆弱性の発見や、今後のAPT攻撃での悪用を促進する可能性があります。同様に、技術情報が漏洩したとされるごく一部の顧客は、リスクを早急に評価し、F5と連携してインシデントの影響をより深く理解する必要があります。」
この攻撃は、現代の攻撃対象領域がソフトウェア開発ライフサイクルの奥深くまで及ぶことを改めて示していますと、Team CymruのフィールドCISOであるWill Baxter氏は声明で述べています。「ソースコードリポジトリやビルド環境を標的とする脅威グループは、長期的なインテリジェンス価値を求めており、セキュリティ制御が内部でどのように機能しているかを理解しようとしています」と同氏は述べています。「外部への接続、脅威アクターのコマンド&コントロールインフラ、不審なデータ流出パターンへの可視性が、こうした活動を早期に特定する鍵となります。外部の脅威インテリジェンスと内部のテレメトリを組み合わせることで、防御側はこれらの高度な侵入を検知・封じ込めるための文脈を得ることができます。」
これは偶発的な悪用ではなかったと、同氏は付け加えています。「これは、開示前にコードや脆弱性に関する洞察を得ることが目的でした。国家支援のグループは、ソースリポジトリやエンジニアリングシステムを戦略的なインテリジェンスの標的とみなす傾向が強まっています。早期検知には、開発者やビルド環境からの外部接続、コマンド&コントロール通信、不審なデータフローの監視が不可欠です。外部の脅威インテリジェンスと内部テレメトリを組み合わせることで、盗まれたコードがゼロデイ攻撃に転用される前に、こうしたキャンペーンを特定・封じ込めることができます。」
F5のインシデントは、攻撃者が長期間システムにアクセスしていたことから深刻ですと、SANS Instituteの研究部門長であるJohannes Ullrich氏はCSO Onlineに語っています。「F5の発表によれば、漏洩した顧客データの量は非常に限定的です」と同氏は指摘します。「しかし、F5がインシデント対応をどこまで進めているのか、攻撃者の影響範囲をどれだけ正確に特定できているのかはまだ明らかではありません。ソースコードや未修正の脆弱性情報を失ったことで、近い将来F5システムへの攻撃が増加する可能性があります。F5のハードニングガイドに従い、念のため認証情報の見直しや変更も検討してください。」
