La société de cybersécurité F5 a révélé mercredi qu’un acteur étatique avait compromis ses systèmes et volé des parties du code source BIG-IP ainsi que des informations sur des vulnérabilités non divulguées. L’attaque sophistiquée, détectée pour la première fois en août mais rendue publique le 15 octobre à la suite d’une demande de report du DOJ, a compromis l’environnement de développement produit de l’entreprise sur une période prolongée.
Les attaquants ont également accédé à des données de configuration client pour ce que l’entreprise a décrit comme un « nombre limité » de clients, qui seront avertis directement avec des recommandations spécifiques, selon BleepingComputer. La brèche a compromis la plateforme d’engineering knowledge management de F5 ainsi que l’environnement de développement de BIG-IP, bien que l’entreprise affirme que sa software supply chain est restée intacte, sans modification malveillante de code détectée.
F5 a lancé une réponse énergique, faisant appel aux sociétés de cybersécurité CrowdStrike, Mandiant, NCC Group et IOActive pour examiner son code source et son development pipeline. L’entreprise a publié des mises à jour de sécurité pour BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ et les clients APM afin de corriger d’éventuelles vulnérabilités exposées par les données volées.
« Au moment de la divulgation initiale, F5 n’avait trouvé aucune preuve que les informations sur les vulnérabilités volées avaient été activement exploitées dans la nature », a rapporté BleepingComputer. L’entreprise a confirmé que les systèmes de CRM (customer relationship management) et les systèmes financiers n’ont pas été consultés pendant l’intrusion.
Recommandations de sécurité critiques émises par F5 : installer immédiatement toutes les mises à jour logicielles, mettre en œuvre de nouvelles pratiques de hardening des systèmes en utilisant l’outil F5 iHealth Diagnostic Tool, et s’assurer qu’aucune interface d’administration n’est exposée à l’internet public. La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et le National Cyber Security Centre (NCSC) du Royaume-Uni ont fermement réitéré ces recommandations, en particulier la restriction de l’accès d’administration, selon les avis de sécurité.
L’incident a des implications majeures pour l’industrie de la cybersécurité, où les fournisseurs eux-mêmes deviennent de plus en plus des cibles de grande valeur. Les produits BIG-IP de F5 sont largement déployés sur les réseaux d’entreprise pour l’application delivery et les services de sécurité, ce qui rend le code source volé et les données sur les vulnérabilités particulièrement précieux pour des acteurs de menace sophistiqués.
Pour les clients de F5, l’intrusion crée une urgence de sécurité. Les organisations doivent partir du principe que les adversaires possèdent désormais une connaissance détaillée des vulnérabilités BIG-IP non corrigées et agir en conséquence. L’entreprise a fourni un guide de threat hunting via ses canaux de support pour aider les clients à renforcer leurs capacités de surveillance et de détection, a noté The Register.
La divulgation tardive, tout en accordant un délai de remédiation initiale, souligne l’équilibre complexe entre transparence publique et sécurité opérationnelle lorsque des acteurs étatiques sont impliqués dans des intrusions visant des infrastructures critiques.
