企业技术供应商F5公司周三表示,受政府支持的黑客入侵了该公司,进入了其生产环境及工程资源门户。
F5公司销售应用安全和数据传输产品,其在一份声明中表示,“一个高度复杂的国家级威胁行为者”在侵入其“工程知识管理平台”及其旗舰产品BIG-IP平台的开发平台后,窃取了该公司的一些文件。
F5公司称,被盗文件“包含部分BIG-IP源代码以及我们正在处理的BIG-IP中未公开漏洞的相关信息”,该公司补充说,据其了解,这些漏洞均不包含严重缺陷,也未涉及远程代码执行。F5公司还表示,未发现“任何未公开的F5漏洞正遭到主动利用”。
从知识管理平台窃取的部分文件包含“一小部分客户”如何配置其F5产品的信息,这可能有助于黑客策划对这些企业的攻击。
F5公司表示,黑客“长期、持续地”访问了其系统,该公司称,其在8月份发现了此次攻击,但未透露攻击开始的时间。F5公司一位发言人拒绝回答有关此次入侵的问题。
美国网络安全与基础设施安全局(CISA)发布紧急指令
美国政府正紧急排查黑客是否通过入侵联邦机构的F5产品,进而对联邦机构进行了攻击。CISA周三下令联邦政府各民用机构立即识别所有受影响的设备,将某些产品的管理界面从公共互联网上移除,并应用F5公司的安全更新。各机构需在10月22日前对大部分受影响产品进行修补,并在10月31日前对剩余产品进行修补。CISA下令各机构断开任何已停用设备的连接,但为满足关键任务需求的情况除外。
CISA负责网络安全的执行助理局长Nick Andersen在周三的简报会上告诉记者,该局尚未获悉有任何机构遭到入侵。他拒绝透露入侵F5公司的国家级威胁行为者的身份。
此次事件立即让人联想到俄罗斯的SolarWinds间谍活动,在该活动中,克里姆林宫的特工渗透进了这家IT软件供应商,并篡改了其代码。通过利用F5公司产品中的漏洞,黑客可能跨过被入侵组织的网络,建立持久访问权限,并窃取包括密码和API密钥在内的敏感数据。
F5公司表示,没有证据表明“我们的软件供应链,包括源代码以及构建和发布流程,遭到了篡改”。该公司表示,两次独立审计证实了这一发现。
尽管如此,Andersen表示,F5公司的政府和私营部门客户可能面临的“下游影响”仍令人高度担忧。
“这是影响我们供应链的更广泛战略活动的一部分。”他说道。
Andersen告诉记者,联邦政府中有数千种F5产品。CISA在周三早些时候向其他机构通报了其紧急指令,并计划在当天晚些时候向州和地方政府进行通报。Andersen表示,CISA正与负责监管关键基础设施部门的机构合作,以向这些行业的成员发出警告。
CISA正在协调应对F5公司被入侵事件,同时该局正因持续的政府停摆而面临裁员、强制调岗和休假等问题。Andersen表示,政府停摆和近期一项关键信息共享法律的到期并未影响CISA处理F5公司事件的能力。
“受影响的员工并不包括将处理此次事件的人员。”Andersen告诉记者。
