F5, dat software maakt voor grote netwerken, zegt gehackt te zijn door een natiestaat. Die zou ‘lange tijd’ in het systeem van F5 hebben gezeten, en stal onder meer informatie over kwetsbaarheden in BIG IP-toestellen.
In een mededeling zegt F5 dat een ‘gesofisticeerde’ groep, die werkt voor een niet-bekendgemaakte overheid al ‘lange tijd’ een verborgen en aanhoudende aanwezigheid had in zijn netwerk. Het Amerikaanse F5, gebaseerd in Seattle, maakt zelf software voor netwerken en telt een hele resem Fortune 500-bedrijven en overheidsinstellingen onder zijn klanten. Die klanten zijn zo bijzonder kwetsbaar voor een supply-chainaanval.
Broncode
De hack werd ontdekt op 9 augustus en is nu bekendgemaakt. De taal van de mededeling doet vermoeden dat de betreffende natiestaat misschien al jaren in het netwerk van F5 verborgen kon blijven. In die periode konden de aanvallers controle nemen over het segment van het bedrijf dat updates maakt en verstuurt voor BIG IP. Dat is een reeks van servertoestellen die vooral door grote bedrijven wordt gebruikt. F5 zegt zelf dat 48 van de belangrijkste 50 bedrijven zo’n BIG IP hebben.
De servertoestellen van F5 die specifiek in deze aanval geraakt zijn, worden door klanten aan de rand van hun netwerken gezet. Ze dienen als load balancers en firewalls, en inspecteren en versleutelen alle data die in en uit het netwerk gaat.
Nog in de mededeling meldt F5 dat de hackers (een deel van) de broncode van die BIG IP-toestellen hebben gedownload en dat ze ook informatie hebben over kwetsbaarheden die F5 had gevonden maar nog niet gepatcht of bekendgemaakt. Ook configuratie-instellingen van sommige klanten zouden zijn gelekt.
Dat is, kort gezegd, genoeg informatie voor een hackersgroep om in te breken in de grootste bedrijven ter wereld . Met die kennis zou de groep supply-chainaanvallen kunnen lanceren op duizenden netwerken, waarvan enkele erg gevoelige. Veel (vooral Amerikaanse en Britse) overheidsorganisaties zijn bijvoorbeeld klant bij F5.
Patch
F5 heeft ondertussen patches uitgebracht voor de gestolen kwetsbaarheden. In totaal gaat het om 44 bugs, waarbij kwetsbaarheden die dus al minstens sinds augustus in handen zijn van aanvallers. Volgens F5 is er echter geen bewijs dat de buitgemaakte kwetsbaarheden al gebruikt zijn om elders in te breken.
‘We hebben geen bewijs dat onze supply chain software werd aangepast, noch dat onze broncode of build en release pipelines werden gewijzigd. We hebben ook geen weet van actieve uitbuiting van de eerder niet-bekendgemaakte F5-kwetsbaarheden,’ meldt F5. Het bedrijf baseert zich daarvoor op onderzoek van twee securitybedrijven, IOActive en NCC Group. De onderzoekers zouden daarbij geen kritieke kwetsbaarheden in het systeem gevonden hebben. F5 vroeg ook aan beveiligers Mandiant en Crowdstrike om zijn systemen door te lichten. Die hebben geen bewijs gevonden dat er financiële of klantendata werd gestolen bij F5 zelf.
De Amerikaanse en Britse cybersecuritycenters waarschuwen ondertussen wel hun overheidsorganisaties voor mogelijke diefstallen als ze de BIG IP-toestellen in gebruik hebben. In de VS moeten die organisaties zo snel mogelijk een overzicht maken van de toestellen en updates installeren. Gebruikers in de private industrie doen best hetzelfde.