F5, qui développe des logiciels pour les grands réseaux, affirme avoir été piratée par un état-nation. Ce dernier aurait eu accès à son système pendant une ‘longue période’ et y aurait dérobé notamment des informations sur les vulnérabilités des appareils BIG IP.
Dans un communiqué, F5 révèle qu’un groupe ‘sophistiqué’ travaillant pour un gouvernement dont l’identité n’a pas été révélée, avait maintenu une présence cachée et persistante sur son réseau pendant longtemps. Basée à Seattle, F5 développe des logiciels pour réseaux et compte parmi ses clients un large éventail d’entreprises figurant dans le Fortune 500 et d’instances gouvernementales. Ces clients sont donc particulièrement vulnérables aux attaques de type ‘supply chain’ (chaîne d’approvisionnement).
Code source
Le piratage a été découvert le 9 août et est à présent rendu public. Le contenu du communiqué suggère que l’état-nation concerné se serait dissimulé au sein du réseau de F5 pendant des années. Durant cette période, les hackers ont pu prendre le contrôle du segment de l’entreprise qui crée et distribue les mises à jour pour BIG IP. Il s’agit là d’une série de serveurs principalement utilisés par les grandes entreprises. F5 affirme que 48 des 50 principales firmes possèdent ce genre de BIG IP.
Les serveurs de F5 spécifiquement touchés par cette attaque sont placés par les clients à la périphérie de leurs réseaux. Ils servent de load balancers (équilibreurs de charge) et de pare-feu, inspectant et cryptant toutes les données entrant et sortant du réseau.
Dans son communiqué, F5 révèle également que les pirates ont téléchargé (une partie) du code source de ces appareils BIG IP et qu’ils disposent d’informations sur des vulnérabilités découvertes par F5, mais non encore corrigées ni divulguées. Les paramètres de configuration de certains clients auraient également été divulgués.
En bref, ces informations suffisent à un groupe de hackers pour s’introduire dans les plus grandes entreprises mondiales. Grâce à cette connaissance, le groupe pourrait lancer des attaques de type ‘supply chain’ contre des milliers de réseaux, dont certains sont extrêmement sensibles. De nombreuses organisations gouvernementales (surtout américaines et britanniques) sont par exemple clientes de F5.
Correctif
F5 a entre-temps publié des correctifs pour les vulnérabilités découvertes. En tout, cela représente 44 bugs, à savoir des vulnérabilités qui sont aux mains des hackers depuis le mois d’août au moins. Cependant, selon F5, rien ne prouve que les informations volées sur les vulnérabilités aient déjà été exploitées pour s’introduire dans d’autres systèmes.
‘Nous n’avons aucune preuve que notre logiciel supply chain ait été adapté, ni que notre code source ou nos build & release pipelines aient été altérés. Nous n’avons en outre connaissance d’aucune exploitation active des vulnérabilités de F5, jusqu’alors non divulguées’, indique F5. L’entreprise fonde cette conclusion sur des recherches menées par deux firmes de sécurité, IOActive et NCC Group. Les chercheurs n’auraient trouvé aucune vulnérabilité critique dans le système. F5 a également demandé aux firmes de sécurité Mandiant et Crowdstrike d’examiner ses systèmes. Elles n’y ont trouvé aucune preuve de vol de données financières ou clients.
Parallèlement, les centres de cybersécurité américains et britanniques préviennent leurs organisations gouvernementales sur de possibles risques de vol liés à l’utilisation d’appareils BIG IP. Aux Etats-Unis, ces organisations doivent inventorier lesdits appareils et y installer les mises à jour dans les plus brefs délais. Les utilisateurs du secteur privé doivent faire de même.