TokyoBlackHatNews

securityweek.com 4分で読了

F5ハック:中国に関連する攻撃、BIG-IPの脆弱性修正、各国政府が警告を発出

セキュリティおよびアプリケーションデリバリーソリューションプロバイダーのF5が水曜日に公表したサイバー攻撃について、さらなる情報が明らかになりました。

F5はこの攻撃を特定されていない国家支援の脅威アクターによるものと非難しました。ニュースが報じられた直後、SecurityWeekは攻撃の特徴から中国が潜在的な脅威アクターである可能性が高いと報じました。 

中国のハッカーはBIG-IPアプライアンスを標的にすることで知られています。さらに、Googleは最近、中国のサイバースパイがSaaSやテクノロジー企業を標的にし、ゼロデイ脆弱性を探すために分析可能なソースコードなどの貴重なデータを入手しようとしたと報告しました。この攻撃にはBrickstormと呼ばれるマルウェアが使われていました。 

F5は公には発表していませんが、Bloombergの報道によると、F5も中国が攻撃の背後にいると考えています。同誌はまた、F5が顧客向けにBrickstormマルウェアに焦点を当てた脅威ハンティングガイドを提供しているとも報じました。 

F5の顧客には、ハッカーが少なくとも12か月間同社ネットワーク内に潜伏していたと伝えられており、これはGoogleの最近のBrickstormレポートで中国のサイバースパイが被害者のネットワークに平均約400日潜伏していたとする内容と一致します。 

Google Threat Intelligence GroupとMandiantは、Brickstorm攻撃をUNC5221として追跡されている脅威アクターと関連付けました。 

MandiantとCrowdStrikeは、F5のインシデント調査およびシステムの保護支援のために招集されています。

F5によると、8月9日にシステム上でハッカーの存在が発見され、BIG-IPの主力プラットフォームのソースコードや未公開の脆弱性情報を含む一部ファイルにアクセスし、持ち出されたとのことです。

広告。スクロールして続きをお読みください。

同社は、攻撃者が悪用可能な未公開の重大またはリモートコード実行脆弱性については把握しておらず、非公開の脆弱性が攻撃で悪用された証拠もないと述べています。

しかし、同社は最近、BIG-IP製品の暗号署名に使用される署名証明書と鍵をローテーションすることを発表しました。さらにF5は水曜日、BIG-IPおよびその他製品に影響する多数の脆弱性に対するパッチの提供を発表しました。 

修正された脆弱性のうち20件以上が「高い深刻度」と評価されています。これらはセキュリティ機構の回避、権限昇格、サービス拒否(DoS)状態の引き起こしなどに悪用される可能性があります。 

大多数の脆弱性はDoS攻撃に悪用可能で、これらのタイプのみが認証なしでリモートから悪用可能ですが、残りは認証や場合によっては昇格した権限が必要です。 

F5は、攻撃者が一部顧客の構成や実装データを含むエンジニアリング知識管理プラットフォームからもファイルを盗んだと述べています。

しかし、同社はサプライチェーンの改ざん(ソースコードやビルド/リリースパイプラインの変更を含む)の証拠は発見していません。さらに他のシステムからのデータ窃取の兆候もありません。

「脅威アクターがNGINXのソースコードや製品開発環境にアクセスまたは変更した証拠も、F5 Distributed Cloud ServicesやSilverlineシステムにアクセスまたは変更した証拠もありません」とF5は述べています。

それにもかかわらず、このインシデントはF5製品を利用する組織にリスクをもたらす可能性があります。米国および英国のサイバーセキュリティ機関は、政府機関やその他の組織に潜在的な脅威について警告を発出しています。 

米国では、CISAが警告を発し、ソースコードと脆弱性情報の窃取が「F5デバイスおよびソフトウェアを使用する連邦ネットワークに差し迫った脅威をもたらす」と述べています。 

同機関は緊急指令を発出し、政府機関に対しBIG-IPハードウェアおよびソフトウェアの在庫確認、利用可能なパッチの早期適用(遅くとも10月31日まで)、インターネットに公開されたアプライアンスの強化、サポート終了デバイスの切断を指示しました。さらに、一部機関にはCISAからBIG-IPのCookie漏洩脆弱性について通知される場合があります。 

「脅威アクターがF5の独自ソースコードにアクセスしたことで、F5デバイスやソフトウェアを悪用するための技術的優位性を得る可能性があります」とCISAは述べています。「このアクセスにより、論理的な欠陥やゼロデイ脆弱性の特定のための静的・動的解析や、標的型エクスプロイトの開発が可能になる恐れがあります。」

英国の国家サイバーセキュリティセンター(NCSC)も同様の勧告を発出し、「影響を受けたF5製品の悪用に成功すると、脅威アクターが組み込み認証情報やAPIキーへアクセスし、組織内ネットワークを横断移動し、データを持ち出し、永続的なシステムアクセスを確立する可能性がある」と指摘しています。

翻訳元: https://www.securityweek.com/f5-hack-attack-linked-to-china-big-ip-flaws-patched-governments-issue-alerts/

ソース: securityweek.com
#2025年サイバー攻撃 #5G脆弱性 #BIG-IP #Brickstormマルウェア #CISA #Equifax情報漏洩 #F5 #セキュリティパッチ #中国ハッカー #国家支援型攻撃

関連記事

サイバーセキュリティの深刻化する危機に関する2つの新レポート、異なる見解を提示

スクープ:たった1行のコードが、Microsoft Androidアプリ数十億ダウンロードをリスクにさらした経緯

Androidアップデートで悪用済みゼロデイおよび123件の脆弱性にパッチ