Amerika Birleşik Devletleri federal hükümeti, önemli bir yazılım sağlayıcısının ağının ele geçirilmesiyle binlerce şirketin ve ABD hükümetine ait çok sayıda ağın siber saldırganlar tarafından istismar edilme tehlikesiyle karşı karşıya kaldığı uyarısında bulundu.
Seattle merkezli ağ yazılımları üreticisi F5, bu hafta yaptığı açıklamada, isimsiz bir ulusal devlet adına faaliyet gösteren gelişmiş bir siber tehdit grubunun uzun bir süre boyunca gizlice ve ısrarla kendi ağlarında varlık gösterdiğini duyurdu. Güvenlik araştırmacıları, benzer saldırıların geçmişteki örneklerine bakarak, hackerların F5 ağlarında yıllarca kalmış olabileceğini belirtti.
Eşi Görülmemiş Bir Saldırı
F5'in açıklamasına göre, bu süre zarfında hackerlar, şirketin sunucu cihazları olan ve dünyanın en büyük 50 şirketinden 48'i tarafından kullanılan BIG-IP güncellemelerini oluşturmak ve dağıtmak için kullandığı ağ bölümünün kontrolünü ele geçirdi. Saldırganlar, özel olarak keşfedilmiş ancak henüz yamalanmamış zafiyetlere ilişkin BIG-IP kaynak kodu bilgilerini ve bazı müşterilerin kendi ağlarında kullandığı yapılandırma ayarlarını indirdi.
Tedarik zinciri saldırılarına karşı eşi görülmemiş bir bilgi birikimi ve bu zafiyetleri istismar etme yeteneği kazandıran bu durum, özellikle hassas veriler barındıran binlerce ağı tehlikeye atıyor. F5 ve dış güvenlik uzmanları, müşteri yapılandırmaları ve diğer verilerin çalınmasının, hassas kimlik bilgilerinin kötüye kullanılma riskini daha da artırdığını belirtti.
Müşteriler, BIG-IP cihazlarını ağlarının en uç noktasına yük dengeleyiciler, güvenlik duvarları ve ağlara giren-çıkan verilerin denetimi ve şifrelenmesi amacıyla konumlandırıyor. BIG-IP'nin ağdaki konumu ve web sunucuları için trafiği yönetmedeki rolü göz önüne alındığında, geçmişte yaşanan benzer ihlaller, saldırganların enfekte olmuş bir ağın diğer bölümlerine erişimini genişletmesine olanak tanımıştı.
F5, iki dış saldırı müdahale firması tarafından yürütülen soruşturmaların, tedarik zinciri saldırılarına dair herhangi bir kanıt bulamadığını açıkladı. Firmalar, kaynak kodu ve derleme süreci analizlerinde, bir tehdit aktörünün kapsamdaki öğeleri değiştirmediğine veya bunlara herhangi bir zafiyet eklemediğine dair bir işaret bulamadıklarını belirttiler. Ayrıca, sistemde kritik zafiyetlere dair herhangi bir kanıt tespit etmediklerini de eklediler. Soruşturmalara katılan diğer firmalar da F5'in CRM, finans, destek vakası yönetimi veya sağlık sistemlerinden veri erişildiğine dair bir kanıt bulamadı.
Şirket, BIG-IP, F5OS, BIG-IQ ve APM ürünleri için güncellemeler yayınladı. Diğer detaylar ve CVE tanımlayıcıları da şirket tarafından paylaşıldı. Şirket, geçtiğimiz günlerde BIG-IP imzalama sertifikalarını değiştirdi, ancak bu değişikliğin saldırıya bir yanıt olup olmadığına dair hemen bir teyit gelmedi.
ABD Siber Güvenlik ve Altyapı Ajansı (CISA), bu çalınmaların "kabul edilemez bir risk" oluşturduğunu belirterek, bu cihaza bağımlı olan federal ajansların "acil bir tehditle" karşı karşıya olduğunu duyurdu. Ajans, kontrolündeki federal ajanslara "acil eylem" talimatı verdi. Birleşik Krallık Ulusal Siber Güvenlik Merkezi de benzer bir direktif yayımladı.
CISA, denetimi altındaki tüm federal ajanslara, çalıştırdıkları veya dış sağlayıcıların kendileri adına çalıştırdığı ağlardaki tüm BIG-IP cihazlarının derhal envanterini çıkarmaları talimatını verdi. Ajans, ayrıca ajanslara güncellemeleri yüklemelerini ve F5 tarafından yayımlanan bir tehdit avı rehberini takip etmelerini yönlendirdi. Özel sektördeki BIG-IP kullanıcılarının da aynı adımları atması tavsiye ediliyor.
