インターネットセキュリティ非営利団体のShadowserver Foundationは、今週サイバーセキュリティ企業F5によって明らかにされたセキュリティ侵害後、26万6,000台以上のF5 BIG-IPがオンラインで公開されていることを発見しました。
同社は水曜日に、「BIG-IP、F5OS、Kubernetes向けBIG-IP Next、BIG-IQ、APMクライアントのアップデートが現在利用可能です。当社は未公開の重大な脆弱性やリモートコード実行の脆弱性については把握していませんが、できるだけ早くBIG-IPソフトウェアを更新することを強く推奨します」と発表しました。
F5はまだ公には認めていませんが、木曜日のBloombergの報道によると、顧客向けの非公開アドバイザリで今回の攻撃が中国に関連していると伝えています。
F5はまた、顧客に対してBrickstormマルウェアについて言及した脅威ハンティングガイドを共有しています。これは、Googleが2024年4月にUNC5291中国系脅威グループによる攻撃の調査中に初めて発見したGoベースのバックドアです。F5はまた、脅威アクターが少なくとも1年間同社のネットワーク内で活動していたことを顧客に伝えています。
Shadowserverのインターネット監視グループは現在、F5 BIG-IPのフィンガープリントを持つ266,978のIPアドレスを追跡しており、そのうち約半数(14万2,000以上)がアメリカ国内、さらに10万台がヨーロッパおよびアジアに存在しています。
しかし、今週明らかになったBIG-IPの脆弱性を悪用する攻撃に対して、すでにどれだけの機器が保護されているかについての情報はありません。
今週、CISAも緊急指令を発出し、米国連邦機関に対してF5OS、BIG-IP TMOS、BIG-IQ、BNK/CNF製品の最新F5セキュリティパッチを10月22日までに適用するよう義務付けました。その他のF5ハードウェアおよびソフトウェア機器については、締切を10月31日まで延長しています。
CISAはまた、サポート終了となったインターネット公開F5デバイスの切断および廃棄も命じています。これらは今後パッチが提供されず、攻撃による侵害が容易になるためです。
「CISAは連邦民間行政機関(FCEB)に対し、F5 BIG-IP製品の在庫を確認し、ネットワーク管理インターフェースがパブリックインターネットからアクセス可能かどうかを評価し、F5からのアップデートを適用するよう指示しています」とサイバーセキュリティ機関は述べています。
近年、国家支援型やサイバー犯罪グループがBIG-IPの脆弱性を悪用し、内部サーバーのマッピング、ネットワーク内機器の乗っ取り、企業ネットワークへの侵入、機密ファイルの窃取、データ消去型マルウェアの展開などを行っています。
侵害されたF5 BIG-IP機器は、脅威アクターによる認証情報やAPIキーの窃取、標的ネットワーク内での横移動、永続的な侵入の確立も可能にします。
F5はFortune 500に名を連ねるテクノロジー大手であり、サイバーセキュリティやアプリケーションデリバリーネットワーキング(ADN)、サービスを世界23,000社以上、Fortune 50企業のうち48社に提供しています。
