从F5网络窃取的源代码和漏洞信息

在疑似国家黑客攻击后，IT和安全领导者应从应用程序交付和安全供应商处安装最新的补丁。

在其环境中拥有F5网络设备的CSO应立即修补其设备，并对可疑活动保持警惕，此前该公司在今天的一份监管文件中承认，今年早些时候，一个匿名威胁者窃取了其BIG-IP产品的一些源代码，以及“一小部分客户”的未披露漏洞和设备配置数据信息。

针对这一披露，美国网络安全和基础设施安全域性（CISA）今天指示联邦民用机构评估其BIG-IP设备是否可以从公共互联网访问，并应用F5的更新。

CISA警告说：“这个网络威胁行为者使用F5设备和软件对联邦网络构成了迫在眉睫的威胁。”“成功利用受影响的F5产品可以使威胁者访问嵌入式凭据和应用程序编程接口（API）密钥，在组织网络中橫向移动，排挤数据，并建立持久的系统访问。这可能会导致目标信息系统的全面妥协。”

F5发布了适用于Kubernetes、BIG-IQ和APM客户端的BIG-IP、F5OS、BIG-IP Next的更新。该公司表示：“我们强烈建议尽快更新这些新版本。”

F5以其应用程序交付和安全产品而闻名，包括网络网关和访问控制管理，拒绝了采访请求以获得更多详细信息，而是将记者转荐为其声明。

拿走了什么

在声明中，F5表示，威胁者从BIG-IP产品开发环境和工程知识管理平台中过滤了文件。“这些文件包含我们的一些BIG-IP源代码以及我们在BIG-IP中处理的未披露漏洞的信息。我们不知道未披露的关键或远程代码漏洞，也不知道任何未披露的F5漏洞被积极利用。”

它说，到目前为止，没有证据表明F5的客户关系管理、财务、支持案例管理或iHealth系统的数据被访问或泄露。

“然而，”声明补充说，“从我们的知识管理平台中，一些被过滤的文件包含一小部分客户的配置或实施信息。我们目前正在审核这些文件，并将酌情直接与受影响的客户沟通。”

它继续说：“我们没有证据表明我们的软件供应链被修改，包括我们的源代码以及我们的构建和发布管道。该评估已通过网络安全研究公司NCC Group和IOActive的独立审查进行验证。没有证据表明威胁者访问或修改了NGINX源代码或产品开发环境。NGINX是一个用于反向代理、负载平衡和缓存的开源网络服务器，也没有证据表明他们访问或修改了F5分布式云服务或Silverline系统。”

F5将这次袭击归因于“高度复杂的民族国家威胁行为者”。它没有透露黑客在其环境中活跃了多久。

至于为什么今天会曝光这次袭击事件，在向美国披露时证券交易委员会F5表示，9月12日，美国司法部确定有必要推迟公开披露。防火墙、网络网关、电子邮件网关和类似设备等关键网络设备长期以来一直是威胁行为者作为IT网络入口的目标，SonicWall最近披露其MySonicWall云备份平台的数据已被泄露，以及上个月的CISA警告，威胁行为者通过利用零日漏洞来瞄准思科系统的自适应安全设备（ASA）。

F5缓解措施

IT和安全领导者应该确保F5服务器、软件和客户端拥有最新的补丁。此外，F5在F5 iHealth诊断工具中添加了自动强化检查，还建议管理员参考其威胁狩猎指南以加强监控，以及强化F5系统的最佳实践指南。

由于这次攻击，F5表示，它轮换了凭证并加强了整个系统的访问控制；部署了改进的库存和补丁管理自动化，以及额外的工具，以更好地监控、检测和应对威胁；对其网络安全架构进行了增强，并加强了产品开发环境，包括加强了安全控制和监控所有软件开发平台。

F5还将为所有受支持的客户提供CrowdStrike的Falcon EDR端点保护服务的免费订阅。

被盗信息可能会助長未来的攻击

ImmuniWeb首席执行官Ilia Kolochenko在一份声明中评论说：“根据目前披露的有关事件范围和被盗数据的信息，没有理由恐慌。”“说到这，被盗的源代码可以大大简化漏洞背后的网络犯罪分子的漏洞研究，并促进对受影响的F5产品中的0天漏洞的检测，这些漏洞可能会在随后的APT攻击中被利用。同样，据报道，技术信息被泄露的一小部分客户应该紧急评估他们的风险，并继续与F5合作，以更好地了解事件的影响。”

Cymru团队现场CISO Will Baxter在一份声明中表示，这次攻击再次提醒我们，现代攻击面深入到软件开发生命周期。他说：“针对源代码存储库和构建环境的威胁团体正在寻求长期的情报价值——了解安全控制是如何从内部运作的。”“对出站连接、威胁行为者指挥和控制基础设施以及不寻常的数据泄露模式的可见性是及早识别此活动的关键。将外部威胁情报与内部遥测相结合，为防御者提供了检测和遏制这些高级入侵所需的背景。”

他补充说，这不是一种机会主义的剥削。“这是关于在披露之前深入了解代码和漏洞。国家赞助的团体越来越多地将源存储库和工程系统视为战略情报目标。早期检测取决于监控出站连接、命令和控制流量以及来自开发人员和构建环境的异常数据流。将外部威胁情报与内部遥测相结合，为防御者提供了在被盗代码变成零日之前识别和遏制这些活动的背景。”

SANS研究所研究院长Johannes Ullrich告诉CSO Online，由于攻击者对系统的访问时间延长了时间，F5事件很严重。“根据F5的声明，泄露的客户数据量非常有限，”他指出。“然而，目前还不清楚F5在事件响应方面有多远，以及他们有多确定他们已经准确识别了攻击者的影响。丢失源代码和有关未修补漏洞的信息可能会导致在不久的将来对F5系统的攻击增加。遵循F5的强化建议，并作为谨慎措施，审查并可能更改证书。”

原文链接地址：https://www.csoonline.com/article/4073195/source-code-and-vulnerability-info-stolen-from-f5-networks.html