F5 heeft beveiligingsupdates uitgebracht na een grootschalige cyberaanval, waar vermoedelijk Chinese staatshackers achter zitten. De indringers kregen langdurig toegang tot de ontwikkelomgeving van de BIG-IP-software en stalen delen van de broncode. Het incident dwingt klanten wereldwijd om hun systemen met spoed te patchen.
De diefstal uit de ontwikkelomgeving voor BIG-IP bij F5 werd onmiddellijk aan staatshackers gelinkt. Het exacte land specificeerde F5 niet in de openbare melding van 15 oktober. Volgens Bloomberg is er intern wel meer zicht op de zaken en is de hackersgroep intern reeds gelinkt aan China.
De BIG-IP-producten van F5 zijn van grote waarde voor staatshackers doordat het product geleverd wordt aan waardevolle bedrijven. 48 van de Fortune 50-bedrijven zijn bijvoorbeeld onderdeel van het klantenbestand.
Bovendien zitten de producten bij veel klanten diep verweven in de interne IT-systemen. Daar verzorgen ze de beveiliging van software via onder meer toegangscontrole en firewalls.
Minstens een jaar lang toegang
De indringers kregen “langdurige, aanhoudende toegang” tot bepaalde systemen en stalen bestanden, waaronder delen van broncode van de BIG-IP-suite. Volgens vertegenwoordigers van F5 zaten de hackers minstens twaalf maanden in het netwerk van het bedrijf.
De bronnen die Bloomberg sprak, meldden dat F5 op woensdag een threat hunting-gids stuurde naar klanten. Centraal daarin staat de Brickstorm-malware, volgens Mandiant zijn de hackers achter Brickstorm bekend om het stelen van broncode van populaire technologie-aanbieders. Mandiant linkte ‘UNC5221’ aan de malware, een groep staatshackers van Chinese afkomst.
Patches uitgerold
Het datalek leidde tot waarschuwingen van autoriteiten in de VS en het VK. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) omschreef het als een “significante cyberbedreiging” en waarschuwde dat staatshackers kwetsbaarheden in F5-producten kunnen misbruiken.
“Het alarmerende gemak waarmee deze kwetsbaarheden door kwaadwillende actoren kunnen worden misbruikt, vraagt om onmiddellijke en beslissende actie van alle federale agentschappen”, aldus CISA-directeur Madhu Gottumukkala. CISA verplichtte alle federale agentschappen hun F5-technologie bij te werken voor 22 oktober.
F5 bracht vandaag beveiligingsupdates uit voor 44 kwetsbaarheden, waaronder de misbruikte kwetsbaarheid in BIG-IP. Het bedrijf benadrukte dat er geen bewijs is dat aanvallers de geheime kwetsbaarheden daadwerkelijk misbruikten.
“Hoewel we geen kennis hebben van niet-ontsloten kritieke kwetsbaarheden, raden we sterk aan uw BIG-IP-software zo snel mogelijk bij te werken”, aldus F5. Het bedrijf voegde eraan toe dat er geen bewijs is van wijzigingen aan de software supply chain.