資安業者 F5 於 10 月 15 日揭露遭國家級駭客組織入侵的重大資安事件。
攻擊者自 2024 年 8 月起長期潛伏在 F5 系統中,竊取了 BIG-IP 產品的原始碼與未公開漏洞資訊。美國網路安全暨基礎設施安全局 (CISA) 隨即發布緊急指令,要求聯邦機構立即修補。
駭客潛伏一年 竊取敏感開發資料
F5 在聲明中指出,這起攻擊由高度複雜的國家級威脅行為者執行。駭客取得了 BIG-IP 產品開發環境與工程知識管理平台的長期存取權限,並下載大量檔案。被竊取的資料包含 BIG-IP 的原始碼,以及尚未對外揭露的漏洞資訊。
根據外媒報導,F5 在私下向客戶發送的通報中,已將此次攻擊歸因於中國相關的威脅組織,更在提供給客戶的威脅獵捕 (Threat Hunting) 指南中提及
Brickstorm 惡意軟體:這是一款以 Go 語言開發的後門程式。
Google 曾在 2024 年 4 月發現中國駭客組織 UNC5291 使用該惡意軟體攻擊政府機構。
F5 透露駭客在內部網路中活動至少一年。不過F5強調,自啟動圍堵行動後,尚未發現任何新的未經授權活動,研判圍堵措施已經成功。
CISA 發布緊急指令設定修補期限
由於攻擊者取得了 F5 開發環境的存取權限,CISA 警告,
駭客可藉此進行靜態與動態分析,發現邏輯缺陷、零時差漏洞 ,並開發針對性的攻擊程式。
CISA 在緊急指令中指出,該駭客對使用 F5 設備與軟體的聯邦網路構成立即性威脅。
攻擊者若成功利用受影響的 F5 產品漏洞,可能存取內嵌的憑證 與 API 金鑰,在組織網路中橫向移動,竊取資料並建立持久性存取,最終導致目標資訊系統完全淪陷。
CISA 要求聯邦民間行政部門機構在 10 月 22 日前完成 F5 OS、BIG-IP TMOS、BIG-IQ 及 BNK/CNF 產品的修補作業,其他 F5 硬體與軟體產品則須在 10 月 31 日前完成更新。此外,所有可從網際網路存取且已終止支援的 F5 設備都必須中斷連線並淘汰。
已修補 44 個漏洞,26 萬台設備面臨風險
F5 在 10 月 15 日發布的季度安全通報中,修補了 44 個安全漏洞,包括此次入侵事件中遭竊取資訊的未公開漏洞。雖然 F5 表示目前沒有發現任何未公開的重大漏洞或遠端程式碼執行漏洞遭到利用的證據,但仍強烈建議客戶儘速更新 BIG-IP 軟體。
網路安全非營利組織 Shadowserver Foundation 掃描發現,全球有超過 26 萬 6 千台 F5 BIG-IP 設備暴露在網際網路上。其中近半數(超過 14 萬 2 千台)位於美國,另有約 10 萬台分布在歐洲與亞洲。目前尚不清楚這些設備中有多少已安裝最新的安全修補程式。
F5 證實,部分從知識管理平台竊取的檔案包含少數客戶的組態或實作資訊。不過該公司強調,
沒有證據顯示客戶關係管理 (CRM)、財務、支援案例管理或 iHealth 系統遭到資料外洩。同時也
未發現軟體供應鏈 (包括原始碼、建置與發布流程)、NGINX 原始碼、F5 Distributed Cloud Services 或 Silverline 系統遭到修改的跡象。
供應鏈攻擊成為國家級駭客首選戰術
專家認為,F5 入侵事件很可能是供應鏈攻擊的第一階段。國家級駭客持續展現其高度成熟且資源充足的攻擊能力。一旦攻擊者在應用程式層取得存取權限,他們不僅會竊取資料,更會將自己嵌入系統中進行指揮與控制。
被竊取的智慧財產可能被用來製作零時差攻擊程式,作為後續 APT 攻擊活動的工具。建議技術資訊遭到入侵的客戶立即評估風險,並持續與 F5 合作以全面了解此事件的影響。
近年來,國家級威脅組織與網路犯罪集團皆將 BIG-IP 漏洞視為重要攻擊目標。攻擊者利用這些漏洞繪製內部伺服器地圖、劫持網路設備、入侵企業網路、竊取敏感檔案,甚至部署資料抹除惡意軟體 (Data-Wiping Malware)。
而這次入侵事件凸顯了一個關鍵問題:針對資安供應商的攻擊可能引發連鎖效應,造成廣泛影響。
建議採取的防護措施
F5 與 CISA 建議所有使用相關產品的組織立即採取以下行動:
- 儘速安裝 F5 發布的最新安全更新程式
- 評估網路管理介面是否可從網際網路存取,並限制不必要的外部連線
- 主動進行威脅獵捕,偵測入侵跡象
- 使用 F5 iHealth 診斷工具強化系統安全
- 啟用 BIG-IP 事件串流(Event Streaming)功能並整合至安全資訊與事件管理系統(SIEM),監控管理員登入、驗證失敗及權限或組態變更
- 加強應用程式層的偵測與回應(ADR)能力
- 將第三方風險視為國家安全議題進行管理
本文轉載自 BleepingComputer、InfosecurityMagazine。