La fondation Shadowserver, une organisation à but non lucratif de sécurité Internet, a découvert plus de 266 000 instances F5 BIG-IP exposées en ligne après la faille de sécurité révélée par la société de cybersécurité F5 cette semaine.
La société a révélé mercredi que des pirates informatiques appartenant à des États-Nations avaient violé son réseau et volé du code source et des informations sur des failles de sécurité non divulguées à grande adresse IP, mais n’ont trouvé aucune preuve que les attaquants avaient divulgué ou exploité les vulnérabilités non divulguées des attaques.
Le même jour, F5 a également publié des correctifs pour corriger 44 vulnérabilités (y compris celles volées lors de la cyberattaque) et a exhorté les clients à mettre à jour leurs appareils dès que possible.
« Les mises à jour pour les clients BIG-IP, F5OS, BIG-IP Next pour Kubernetes, BIG-IQ et APM sont disponibles dès maintenant », a déclaré la société. « Bien que nous n’ayons aucune connaissance de vulnérabilités critiques ou d’exécution de code à distance non divulguées, nous vous conseillons vivement de mettre à jour votre logiciel BIG-IP dès que possible ».
Bien qu’il ne l’ait pas encore confirmé publiquement, F5 a également lié l’attaque à la Chine dans des avis privés partagés avec les clients, selon un rapport Bloomberg de jeudi,
F5 a également partagé avec ses clients un guide de chasse aux menaces qui mentionne le malware Brickstorm, une porte dérobée basée sur Go repérée pour la première fois par Google en avril 2024 lors d’une enquête sur des attaques orchestrées par le groupe de menaces UNC5291 China-nexus. F5 a également indiqué aux clients que les auteurs de la menace étaient actifs dans le réseau de l’entreprise depuis au moins un an.
UNC5291 était précédemment lié à l’exploitation d’Ivanti zero-days dans des attaques ciblant des agences gouvernementales, en utilisant des logiciels malveillants personnalisés tels que Zipline et Spawnant.
Le groupe de surveillance Internet Shadowserver suit désormais 266 978 adresses IP avec une empreinte F5 BIG-IP, dont près de la moitié (plus de 142 000) aux États-Unis et 100 000 autres en Europe et en Asie.
Cependant, il n’y a aucune information sur le nombre d’entre eux qui ont déjà été sécurisés contre des attaques qui pourraient potentiellement exploiter les vulnérabilités BIG-IP divulguées cette semaine.
Cette semaine, CISA a également publié une directive d’urgence, obligeant les agences fédérales américaines à sécuriser les produits F5OS, BIG-IP TMOS, BIG-IQ et BNK / CNF en installant les derniers correctifs de sécurité F5 d’ici le 22 octobre, tandis que pour tous les autres appareils matériels et logiciels F5 sur leurs réseaux, il a prolongé la date limite au 31 octobre.
CISA leur a également ordonné de déconnecter et de mettre hors service tous les périphériques F5 exposés à Internet qui ont atteint la fin de la prise en charge, car ils ne recevront plus de correctifs et peuvent être facilement compromis lors d’attaques.
« La CISA demande aux agences de l’Exécutif civil fédéral (FCEB) d’inventorier les produits F5 BIG-IP, d’évaluer si les interfaces de gestion en réseau sont accessibles depuis l’Internet public et d’appliquer les mises à jour de F5 », a déclaré l’agence de cybersécurité.
Ces dernières années, les groupes de menaces des États-Nations et de la cybercriminalité ont ciblé les vulnérabilités BIG-IP pour cartographier les serveurs internes, détourner les appareils sur les réseaux des victimes, violer les réseaux d’entreprise, voler des fichiers sensibles et déployer des logiciels malveillants d’effacement des données.
Les appliances F5 BIG-IP compromises peuvent également permettre aux acteurs de la menace de voler des informations d’identification et des clés d’Interface de programmation d’application (API), de se déplacer latéralement dans les réseaux des cibles et d’établir la persistance.
F5 est un géant technologique Fortune 500 qui fournit des services de cybersécurité, de mise en réseau de distribution d’applications (ADN) et des services à plus de 23 000 clients dans le monde entier, dont 48 des sociétés Fortune 50.