20/10/25
Обнаружение провела некоммерческая организация Shadowserver, которая занимается мониторингом сетевой безопасности. Согласно их данным, почти 143 тысячи уязвимых экземпляров находятся в США, остальные — в Европе и Азии. Степень их защищённости от потенциальных атак остаётся неизвестной, пишет Securitylab.
Накануне компания F5 официально подтвердила, что стала жертвой хакерской операции с признаками государственной координации. В ходе взлома злоумышленники получили доступ к исходному коду и нераскрытым уязвимостям продуктов серии BIG-IP. Хотя сведений об эксплуатации этих уязвимостей в реальных атаках пока не поступало, компания уже выпустила набор обновлений для 44 проблемных компонентов, включая те, которые фигурировали в компрометации.
Пользователям было настоятельно рекомендовано немедленно обновить прошивки BIG-IP, F5OS, BIG-IP Next для Kubernetes, BIG-IQ и клиентов APM. При этом в частных уведомлениях, направленных заказчикам, F5 связывала произошедшее с китайской группировкой UNC5291, хотя публично эта версия пока не озвучивалась.
Дополнительно компания распространила инструкцию по анализу следов вторжения, в которой фигурирует вредоносная программа Brickstorm. Этот бэкдор на языке Go в 2024 году был замечен Google во время изучения кибератак, проводимых UNC5291. По внутренней информации F5, атакующие могли находиться в инфраструктуре компании не менее года.
Группировка UNC5291 ранее была замечена в атаках с использованием нулевых уязвимостей в продуктах Ivanti, направленных на государственные учреждения. В арсенале атакующих находилось собственное вредоносное ПО, включая образцы Zipline и Spawnant.
На фоне раскрытия информации Агентство США по кибербезопасности и инфраструктурной безопасности (CISA) выпустило экстренное предписание для федеральных ведомств. До 22 октября они обязаны установить обновления на продукты F5OS, BIG-IP TMOS, BIG-IQ и BNK/CNF. Для остальных решений F5 крайний срок продлён до 31 октября.
Также предписано отключить и вывести из эксплуатации устройства, достигшие окончания срока поддержки, поскольку они больше не получают обновлений и могут быть легко скомпрометированы. CISA потребовала провести инвентаризацию всех устройств F5 в инфраструктуре, оценить доступность их интерфейсов управления из интернета и применить актуальные обновления.
За последние годы уязвимости BIG-IP неоднократно становились целями атак как со стороны киберпреступников, так и государственно связанных групп. С их помощью злоумышленники получали доступ к внутренним серверам, похищали конфиденциальные данные, внедряли шпионские компоненты, стирали информацию и закреплялись в инфраструктуре. В случае компрометации устройства F5 BIG-IP могут раскрывать атакующим пароли, ключи API и позволять перемещаться внутри сети жертвы.
